从我在网上读到的,似乎会话固定攻击是由session_id信息通过url中的查询字符串传递引起的,或者可能通过POST。对于我的网站,我从不通过GET或POST传递会话信息;我只是将会话信息存储在session中!对我来说,这似乎是非常明显的,以至于我觉得我好像错过了什么……如果您只是将session_id存储在浏览器的SESSION中,您可以保护您的客户端session_id信息吗?
会话固定是一种攻击,攻击者定义会话id或能够创建一个已知的会话id,然后将此id传递给意想不到的受害者,后者使用此id,而不知道它不是随机创建的。
你提到的"你在会话中存储会话信息"完全没有抓住要点。这种攻击并不意味着直接访问这些数据。它的目标ID -这个ID应该是足够随机的,但是会话固定攻击绕过了这一点。
请注意,即使没有会话固定的可能性,也有更多可能的攻击向量可用来闯入会话。