0

我有一个网站,在初始登录页面(在 https 中)之后应该重定向到 http 网站。
我注意到会话 cookie 不会在 https 和 http 请求之间传递。
什么是这样做的安全方法?
现在,作为临时解决方案,我生成了一个一次性唯一密钥,以在我第一次从 https 移动到 http 时使用。这在验证后会重新创建用户会话。

4

1 回答 1

1

什么是这样做的安全方法?

没有一个。充其量你最终会以明文形式发送会话令牌并且对会话劫持持开放态度。在最坏的情况下,您会将用户暴露给中间人攻击(即使在您和用户都认为安全的页面上,只要他们从仅 http 的页面到达那里)。

通过 HTTPS 为整个站点提供服务。开销并不高,它消除了许多潜在的安全隐患。

于 2013-11-04T21:52:00.240 回答