无法超越的Session

记得之前从JE 某网友的言论中沉淀了一句话，让我记忆犹新。

 

某JE友人 写道

世界上从来没有过BS系统，只有B系统和S系统

 

昨天采购服务器，选型选了半天，最后还是看安全指标吧，突然看到关于XSS的话题，仔细了解，才发现我们的思路

还不如这些小黑们。黑客的需求分析与实现比我们开发软件项目更加精准，达到目的就可以。

 

说到XSS，都是Session惹得祸，怎么能超越Session链接服务者和消费者，并且能验证他们相互的身份，想了一夜，无解。

 

唯一想到的就是刚才那句话。说的很有道理，有Session的就是客户端-服务器（CS架构系统），真的没有B/S系统哦。

 

服务器还是没选好～～

 

至于Session的问题，我猜是不是都用类似源代码混淆器的方法保证安全啊，毕竟漏洞是人造的，利用漏洞也是人工的，

混淆可以很好的提高http的安全性吧。