cookies - 发送敏感数据后关闭 SSL 是否安全？

Question

我想知道一旦我们通过登录或注册页面，将连接更改回 http 是否安全。我正在考虑这个选项，因为一旦用户登录到他们的帐户来回发送的数据并不是很敏感，只有用户凭据是敏感的。

我的理论是答案最好不要，因为会话 cookie 将被不安全地发送，并且第三方可以在 cookie 未过期时捕获并使用它。

我是对的，还是我完全错了？我能得到一些见解吗？

Answer 1

你是对的。切换回 http 将发送任何未加密的 cookie，从而使会话容易被拦截。