網站安全開發中會話管理原則有哪些

網站安全開發中會話管理原則有以下這些：

• 應用程序應當只識別有效的會話標識符，會話標識符必須總是在一個可信系統（比如，服務器）上創建。會話管理控制應當使用通過審查的算法以保證足夠的隨機會話標識符。

• 為包含已驗證的會話標識符的cookie設置域和路徑，為站點設置一個恰當的限制值。

• 注銷功能應當完全終止相關的會話或連接，注銷功能應當可用于所有受身份驗證保護的網頁。

• 在平衡風險和業務功能需求的基礎上，設置一個盡量短的會話超時時間。通常情況下，應當不超過幾個小時。

• 禁止連續的登錄，并強制執行周期性的會話終止，即使是活動的會話也是如此。如果一個會話在登錄以前就建立，在成功登錄以后，關閉該會話并創建一個新的會話。在任何重新身份驗證過程中建立一個新的會話標識符，不允許同一用戶ID的并發登錄。

• 不要在URL、錯誤信息或日志中暴露會話標識符。會話標識符應當只出現在HTTP cookie頭信息中。比如，不要將會話標識符以GET參數進行傳遞。

• 通過在服務器上使用恰當的訪問控制，保護服務器端會話數據免受來自服務器其他用戶的未授權訪問。

• 生成一個新的會話標識符并周期性地使舊會話標識符失效（這可以緩解那些原標識符被獲得的特定會話劫持情況）。

• 在身份驗證的時候，如果連接從HTTP變為HTTPS，則生成一個新的會話標識符。在應用程序中，推薦持續使用HTTPS，而不是在HTTP和HTTPS之間轉換。

• 為服務器端的操作執行標準的會話管理，比如，通過在每個會話中使用強隨機令牌或參數來管理賬戶。該方法可以用來防止跨站點請求偽造攻擊。

• 通過在每個請求或每個會話中使用強隨機令牌或參數，為高度敏感或關鍵的操作提供標準的會話管理。

回答所涉及的環境：聯想天逸510S、Windows 10。