Python 如何在Odoo8中防止会话劫持？

我正在为我的公司在Odoo8上构建一个产品。我想知道如何防止我的应用程序被会话劫持。为此，我采取了几项措施：

在成功登录和注销后更改会话Id

我们还使用ssl加密客户端和服务器之间的数据

但我公司的安全团队没有签署我的产品，因为他们说我们可以将登录用户的cookie复制到其他浏览器中，并可以轻松访问该帐户，但根据我的说法，如果机器受到物理破坏，这是可能的。我不知道我现在该怎么办

---

这方面的任何帮助都是值得注意的。

如果您正确配置了SSL，攻击者将无法获取登录用户的cookie。唯一的方法是将其复制粘贴到登录用户的计算机上。但是，为什么不用电脑，不用拷贝粘贴cookie呢

你可以让他们入侵你的账户，而不给他们你的电脑。请记住，Odoo中的许多数据传输都是通过JSON-RPC完成的。所以一定要加密这些数据

---

这个答案提供了一些关于会话劫持的有价值的想法，如果您正确配置了SSL，攻击者将无法获取登录用户的cookies。唯一的方法是将其复制粘贴到登录用户的计算机上。但是，为什么不用电脑，不用拷贝粘贴cookie呢

你可以让他们入侵你的账户，而不给他们你的电脑。请记住，Odoo中的许多数据传输都是通过JSON-RPC完成的。所以一定要加密这些数据

这个答案给出了一些关于会话劫持的有价值的想法