PCサイトのセッション管理には必ずセッションクッキーを利用します。セッションクッキーとは有効期限が0の特別なクッキーです。通常のクッキーには有効期限が設定でき、「2008年12月31日までPCに保存する」などの指定ができます。有効期限がないクッキーは通常はブラウザのメモリ上にのみ保存されます。 ブラウザが使用しているメモリ上に保存されるので、ブラウザを終了させるとセッションID情報も削除されます。共有PC等を利用した場合でも、ユーザがログアウトしなくても、ブラウザを終了すればセッションIDはPC上からなくなります。 セッションクッキーを利用せずに、有効期限が1日や2日などの“非常に長い”期間を設定し、サーバ側でも同様に長いセッション有効期限を設定していると、ログインした共有PCなどからセッッションを不正利用される可能性が高くなります。 このほかにも、PCの時計が間違っている場合にはロ
![【スクリプトインジェクション対策01】セッションクッキーを利用する | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/bd946085d022ca6a1853df02635fa44e1207ef80/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2007%2F009_security.png)