他のユーザーが信頼できるサイトに埋め込んだjavascript機能でセッションIDクッキーを盗むのは簡単です。この種の攻撃にはどのような対策がありますか?セッションIDを奪う - クッキーカウンター
ほとんどすべてのサイトでjsが使用されているため、クライアント側のすべてのjavascriptスクリプトを拒否するのはおそらく困難です。サーバー側で可能な対策は何ですか?有効なセッションIDが別のホストから使用されないように、セッションID値にクライアントのIPアドレスのハッシュを含めることは可能ですか?このアプローチは理にかなっていますか?
あなたの貴重な回答に記載されているリソースの1つでは、リクエストごとにセッションIDが変更される解決策が提案されています。そのような機能は既にアプリケーションサーバー/フレームワークでサポートされていますか?特にDjango/pythonについてはどうですか?
悪意のあるサイトが信頼済みサイトゾーンに侵入した場合、ユーザーはサイトに関係なくかなりホーズ状態になります。信頼できるサイトは別のドメインからどのように正確にCookieを読み込みますか?それが本当に可能な場合、悪意のある信頼できるサイトがクライアント側からハイジャックされたセッションIDを利用できない場合は、IPフィルタリングが助けにならないでしょう –
リクエストごとにセッションIDを再生成すると、戻るボタンを使用する能力。あなたが言及したウィキペディアの記事は、成功したログイン後の再生成を示唆しています。 –