【スクリプトインジェクション対策01】セッションクッキーを利用する | gihyo.jpPCサイトのセッション管理には必ずセッションクッキーを利用します。セッションクッキーとは有効期限が0の特別なクッキーです。通常のクッキーには有効期限が設定でき、「2008年12月31日までPCに保存する」などの指定ができます。有効期限がないクッキーは通常はブラウザのメモリ上にのみ保存されます。 ブラウザが使用しているメモリ上に保存されるので、ブラウザを終了させるとセッションID情報も削除されます。共有PC等を利用した場合でも、ユーザがログアウトしなくても、ブラウザを終了すればセッションIDはPC上からなくなります。 セッションクッキーを利用せずに、有効期限が1日や2日などの“非常に長い”期間を設定し、サーバ側でも同様に長いセッション有効期限を設定していると、ログインした共有PCなどからセッッションを不正利用される可能性が高くなります。 このほかにも、PCの時計が間違っている場合にはロ
