完成会话的过程主要是检查应用程序的用户在应用程序注销后不能重复使用。 您还应检查应用程序如何管理存储在内存中的数据。 为了最大限度地减少攻击者攻击活动会话并接管该会话的时间,请为每个会话设置一个过期超时,指定该会话将保持活动多长时间。 为 Web 应用程序建立过长的会话过期时间会增加基于活动会话的攻击的风险。 会话间隔越短,攻击者接管的时间就越短。 会话到期超时值应根据 Web 应用程序的目的和性质设置,并平衡安全性和可用性,以便用户能够在 Web 应用程序中方便地执行操作,而不会经常丢失会话。 典型的闲置超时时间为高风险应用程序 2-5 分钟,低风险应用程序 15-30 分钟。 下图显示服务器响应与会话 Cookie 有效期为一年太长。
