你看，会话固定攻击，它的核心策略，恐怕可以这样概括：攻击者想方设法让受害者在尚未登录之前，就先“接收”一个由攻击者指定或者预设的会话ID。就好比，你还没进门，坏人就已经把一把印有他标记的钥匙偷偷塞进了你的口袋。当你用这把“标记过”的钥匙开门（也就是正常登录）之后，服务器自然而然地就认为，你现在用的这个会话，就是之前那个带标记的会话。换句话说，受害者合法认证后，那个本应独属于自己的、全新的会话ID，居然还是攻击者早就知道的旧ID。