CakePHPのSecurity.levelについて

リファラ見るとか意外に忘れがちなので。

Cakephpのcore.phpで設定するSecurity.levelは、Session.timeoutと関係があるというのはわかりやすいんだけど、
プラスαの部分は見落としがち。

・セッションの保持範囲
high:cakeの内部しかセッションを保持しない
medium:同一ドメイン内でしかセッションを保持しない
low:違うドメインでもok

・リファラチェック
high:リファラチェックあり
medium:リファラチェックあり
low:リファラチェックなし

他にもSecurity.levelがhighだとSessionIDが毎回生成されるので、システム対象範囲にモバイルサイトがある場合は要注意。