阅读OWASP A3-Broken AuthenticationandSessionManagement。另请阅读有关OWASPA5-CSRF的信息，有时也称为“会话骑行”。

您应该在php标头文件中使用以下代码：

ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();

此代码可防止会话固定。它还有助于防止xss的访问document.cookie，这是可能发生会话劫持的一种方式。仅执行HTTPS
cookie是解决OWASPA9传输层保护不足的一种好方法。这种使用HTTPS的方式有时称为“安全cookie”，这是一个可怕的名称。另外，STS是一项非常酷的安全功能，但并非所有浏览器都支持它。