おさかなラボ – 携帯電話からセッションIDの漏洩を防ぐこの場合、以下の方法を取ることにより、セッションIDの窃取、ひいてはセッションハイジャックを防ぐことができる。
1. テンプレートなどにおいて、責任が持てるサイト以外には直接リンクを張らない。責任が持てない場合は必ず方策3を取る。 2. Blogのコメント欄のように自動的に生成されるリンクでは、必ず方策3を採る 3. 責任が持てないサイトにリンクを張る場合、またはBlogのコメント欄のように外部からリンクを任意に張られるような場合は、セッションIDを含めないURLに一旦誘導し、そこから外部リンクに飛ばすようにする。
携帯用Webアプリの場合、普通に外部リンクを置いたら・・・死! ・・・だそうです。キツー。