httponly?不过有ajax的话，用起来会超级不方便。
有个奇怪的想法就是判断登陆地区，比如说跨省就算被X，然后在用户cookies上面写个比如说token的东西，然后服务端去综合校验，如果发现跨省，就当成被X了，然后报废用户当前的token

唯一不可伪造的只有IP地址。
参考 http://wdot.cc/Defense/92.html
或者判断常登陆的所在地，比如说xx市，减少被x的几率。

@abcdlzy 说的不错。目前对于类似问题，基本都是如果发现跨地区了，就要求重新登录。微博等容易爆发xss的地方，都是这么做的。
判断ip不太赞同，毕竟现在有移动客户端，ip之类很容易变。

@GaRY 这个方法比较折中。暂时使用此方法进行处理。刚好我们所有用户登录都有保留经纬度。判断10公里范围。应该基本无大碍。

@abcdlzy token 也是可以被x 拿到的

用网卡MAC生成唯一的机器码怎么样？http://blog.163.com/mengqing_dao/blog/static/1335205132012122378633/

@VIP web程序拿不都mac。。。别给杂文带坏了。

@abcdlzy 和httponly不冲突吧

http-only 算是个基础防护吧，起码对方需要自己写代码来进行某些操作，而不是直接被劫持到。

@abcdlzy 要是挂个代理、vpn什么的自己不也被封了

@xsser 在弄asmx的时候，搞死传输不了httponly的cookies过去，应该是技术不够吧，反正各种搜索引擎都用了个遍，没找到解决方案，所以产生了点阴影。。
@lxsec 普通用户一般不挂代理的吧？
@齐迹 这个考虑到了，想了下，还真不科学

一看楼主就没实践过，什么“用户体验不好”，这种问题压根不会存在！

谁叫你永久记录了……

记录【本次登录】信息即可……

最简单的：

session("ceo") = ip

或

session("ceo") = ip + user_agent

或更复杂的……

由于记录的是本次登录信息，所以对用户来说，完全无影响……

但对攻击者来说，蛋裂……

什么ip变更、浏览器升级，完全不存在这些问题，除非你登陆中换ip、浏览器，这占极少数……

但仍然无法防御js模拟操作（不使用cookie）……

以上方法，本人已使用很久，从没出现过什么用户体验问题。

唯一碰到的情况是，宽带掉线，重登陆ip变更，导致cookie失效，重登陆即可。

但这种情况，极少见，所以可以忽略。

@核攻击 好吧 你赢了。你觉得你的方法第二天来还保持登录状态吗？

@齐迹 如果站点，需要保持登录状态的话，比较难实现。

我是使用的一次性登录。

我以为楼主是需要一次性登录之类的，如果是微博之类需要保持登录状态的话，没法绑定IP。

@齐迹 如果是后台的话可以考虑 自己写插件 控制行为

最简单的处理就是 没有“插件”后台根本打不开

如果是前端 多次确认+第三方确认（PS：参考下Google两步登陆）
关键操作“需要密码”

@齐迹 同源策略