面对日益增多的网络安全威胁，网站管理员必须时刻关注网站的安全性能，并采取相应的安全策略来防范攻击。在这方面，会话安全性是值得特别关注的一点。会话是指用户在登录网站后和网站服务器之间的一次通信过程，它通常需要一个时间限制来确保安全性。因此，本文将通过优化“session.timeout”设置策略来提高网站的会话安全性。

一、什么是session.timeout？

在网站管理中，session.timeout（会话超时）是一个经常用到的术语。它指的是用户与服务器之间的会话时间限制，即用户在不活动一段时间之后被强制退出当前会话。用户在登录网站时会建立一个会话，然后每个请求都会将该会话带到服务器。服务器通常需要某种机制来管理这些会话，以便在安全性方面有一个好管理。

二、 session.timeout设置问题

设置session.timeout策略，是管理员需要优化的一个重要问题，因为这方面受到很多因素的影响。下面是一些常见问题和建议：

1. 长度和类型

session.timeout值应该尽量小，但仍然足够表现用户活动的持续时间。如果值太大，那么可能导致不必要的风险，如短暂的离开，盗用会话等等。要注意的是，具体的值应该基于网站类型和用户活动模式而定。

2. 使用复杂密码

只出考试题不打露脸，生怕会话状态过期不安全？

这也是很多管理员经常犯的错误，即用户在访问网站后长时间不活动，但仍然保持连接状态。这样的情况可能导致会话劫持，攻击者可以将有效的会话ID复制到自己的计算机上，并使用它来访问网站。因此，session.timeout设置应该结合其他更安全的机制，比如使用复杂密码，对会话进行加密，以及对会话持续时间和要求进行分析和监控。

3. 防止多步启动流程

另一个常见的问题是用户的浏览器中，可能有多个或重复的tab或窗口受到了不同的因素的影响。在这种情况下，当用户在一个窗口或tab上进行了操作，而在其他窗口或tab上不活动，会导致会话超时。这种情况下的建议是使用cookie或其他机制，使用户能够在多步启动流程中保持一致性，以避免错误。

三、如何优化session.timeout？

针对上述这些问题，以下是一些略微建议来优化网站的session.timeout设置策略：

1. 减少标准值

第一种优化策略是将session.timeout值减少到最小，尽可能地防止不必要的风险。这个值可以通过websphere console，tomcat manager等管理工具设置和更改。

2. 强化密码

用于加密用户的密码和ID的AES算法应该在服务器端加强，以更好地保护会话数据。

3. 化繁为简

将多个窗口和tab归类为同一个会话，并使用cookies或其他标准机制使它们在同一时间内响应，以保持一致性。

4. 定期再次登录

考虑为特殊的处理任务配置自动注销操作，并在任务完成时重新登录。

总结

以上是优化session.timeout的一些策略，管理员应该基于具体情况，结合其他安全措施，将其实施到实际操作中。虽然设置一个适当的会话超时时间会带来一定的成本和时间，但这个过程可以预防所有已知的会话安全问题，实际上也是网站管理的一部分。在这方面，我们必须认真思考优化session.timeout策略，使网站更加安全可靠。