Django4.0 使用會話-會話安全

站點內(nèi)的子域可以在客戶端上為整個域設(shè)置 cookies。如果 cookies 允許來自不受新人用戶控制的子域，這將使會話固定成為可能。

比如，一個攻擊者登入了 good.example.com 并且為賬戶獲得了一個有效會話。如果攻擊者控制了 bad.example.com ，他們可以使用它來發(fā)送他們的會話秘鑰給你（會話秘鑰是保證用戶跟其它計算機或者兩臺計算機之間安全通信會話而隨機產(chǎn)生的加密和解密密鑰），因為子域已經(jīng)允許在 *.example.com 上設(shè)置 cookies 。

另一個可能的攻擊是如果 good.example.com 設(shè)置它的 ?SESSION_COOKIE_DOMAIN ?為 "example.com" ，會導(dǎo)致來自站點的會話 cookies 發(fā)送到 bad.example.com 。