El sitio web OWASP dice:
Vincule el ID de sesión a la sesión SSL y brinde opciones configurables para acciones a realizar si el ID de sesión se transmite a través de un nuevo SSL sesión.
No estoy seguro de si esto es realmente válido. ¿Puede esto realmente ser una protección útil contra el secuestro de sesiones?
Además, me temo que al hacer esto, la funcionalidad de la aplicación podría fallar.
¿Qué piensas?