我建立针对Struts的后端通过Flex客户端，我必须找到一种方法来传递会话标识，而不依赖于饼干，因为我无法使用Cookie Flash影片。

我看把令牌无论是在邮件正文或URL。 把它在URL具有一定程度的名声不好，安全明智的。 不过，我刚刚阅读了关于会话劫持，CSRF和XSS，我真的无法明白为什么它应该比饼干更糟糕。 如果有的话，没有被每当你访问一个特定的域名更安全，或者是沿着透明地发送cookie？

基本上，我可以看到的唯一原因是，该令牌是在请求可见，可能通过浏览器历史记录被泄露，Web服务器日志等。如何不好这是真的，以及是否有办法减轻风险？ 还有什么其他的风险可能有多大？

这是多么糟糕？ 好了，我们的竞争对手已经从内部（基于会话页）对我们网站的链接，我看到了它的服务器日志。 快速复制和使用/ SESS / sess_34984923_34423423 /类型的东西贴，我被登录到他们与该用户（幸运的完全访问权限的系统，他们不是管理员，这是没有什么“超安全”像银行/电子邮件等：但仍然）。

此外，这取决于你究竟是如何实现它，完整的URL（包括会话令牌）可以通过代理服务器，甚至谷歌缓存（如果人们使用谷歌工具栏）。

我这样做的Flash交互会话的方式是送在Flash参数会话标识符（在HTML）到Flash，然后将其发送回服务器。 我发现大多数浏览器/闪存组合也送我反对进一步验证的cookie。

我对你的轶事。 我被灌了一些文书工作的一个众所周知的公司在美国。 他们打印出来的Web应用程序所产生的对抗页，我怎么知道？ 在页面窗口的打印管理器的底部，其中包含有JSSESSIONID的URL。

我要明确指出，员工只是递给我一张纸，让我立刻登录，如果我有自己的用户名和密码。 DOAH！

我建议你在叫一个非常严重的安全问题的进一步阅读会话劫持 ，它允许恶意攻击者冒充用户，一旦他有他的会话ID。