セッションIDの要件

• 一意なIDとすること。
• 推測されにくい乱数値とすること。

セッションIDの受け渡し

セッションIDの受け渡し方法には次の3つがある。

• Cookie
  • セッションIDをCookieに格納しやり取りする。
  • ×Cookieをoffにされたり、Cookieが使えない環境(携帯電話等)では使えない。
  • ×ローカルに保存されたCookieからIDを奪取される可能性がある。
    • →有効期間を0とし、ブラウザの終了とともに情報が破棄されるようにする。(→セッションクッキー)
  • ×他のWebサーバーからCookieを送り込まれる(サードパーティクッキーと呼ばれる)場合がある。
• Hiddenフィールド
  • FormでHiddenフィールドを利用してセッションIDを受け渡す。
• URLパラメータ
  • URLパラメータに追加して渡す。
  • ×refererフィールドとして遷移先サイトに通知してしまう可能性がある。
  • ×サーバーのログに記録される恐れがある。

盗聴防止のため、SSL等で暗号化した上でやり取りするのが望ましい。