我有一个网站,在初始登录页面(以https为单位)之后应重定向到http网站
我注意到会话cookie没有在https和http请求之间转移
什么是安全的方法呢?
现在作为临时解决方案,我生成一次性唯一密钥,以便在我第一次从https移动到http时使用。经过验证,这会重新创建用户会话。
答案 0 :(得分:1)
这样做的安全方法是什么?
没有一个。最好你最终发送明确的会话令牌,并开放会话劫持。在最坏的情况下,您会将用户暴露给MitM攻击(即使在您和用户认为都是安全的页面上,只要他们从仅限http的页面到达那里)。
通过HTTPS提供整个网站。开销并不高,它消除了许多潜在的安全隐患。