0

我想知道一旦我们通过登录或注册页面,将连接更改回 http 是否安全。我正在考虑这个选项,因为一旦用户登录到他们的帐户来回发送的数据并不是很敏感,只有用户凭据是敏感的。

我的理论是答案最好不要,因为会话 cookie 将被不安全地发送,并且第三方可以在 cookie 未过期时捕获并使用它。

我是对的,还是我完全错了?我能得到一些见解吗?

4

1 回答 1

2

你是对的。切换回 http 将发送任何未加密的 cookie,从而使会话容易被拦截。

于 2013-10-07T16:08:03.430 回答