标签: cookies ssl
我想知道在我们通过登录或注册页面后将连接更改回http是否安全。我正在考虑这个选项,因为一旦用户登录到他们的帐户来回发送数据并不是真正敏感,只有用户凭据是敏感的。 我的理论是答案最好不要这样做,因为会话cookie将被不安全地发送,第三方可以捕获它并在cookie未过期时使用它。 我是对的,还是我完全错了?我可以获得一些见解吗?
答案 0 :(得分:2)
你是对的。切换回http将发送任何未加密的cookie,使会话容易被拦截。