session.use_trans_sid

session.use_trans_sidは外部ドメインへのformタグにも無差別に付加する

formタグにhiddenタグを追加するという動きで、action先が絶対パスでもセッションIDを付与してしまうのだ。 これは結構やばいと思う。


なるほどね。
あまり頼るなってことなのかね。