セッション管理
未初期化のセッションIDを受け入れない
セッションデータを突然削除しない
不必要にURIベースのセッションID管理を有効化しない
セッションデータ削除をGCに頼らない
不必要にセッションIDが利用可能な範囲を広げない
セッションIDは定期的に更新する
セッションIDが更新され有効期限切れとなったセッションIDに対するアクセスを検出する
不必要にセッションIDを暴露しない
セッションIDを重要なイベント発生時に更新する