27. Session 劫持防御
Session Id 永远不要出现在 HTML 中
Session Id 的 Cookie 永远要 HttpOnly
记录浏览器很少变化的 HTTP 头
User Agent
Accept Encoding
Accept Language
IP(?)
Tuesday, May 14, 13
39. Same Origin Policy 与 跨
域通信
Same Origin Policy 对不同域限制:
frame 之间不能互相访问
发起的 GET 请求无法获取内容
无法发起 POST 型 AJAX 请求(但可以直接
POST FORM)
无法使用字体/Flash/Java Applet
。。。
Tuesday, May 14, 13