会话cookie正在迅速成为进行登录管理的标准方式。但是,如果发送未加密,很容易劫持某人的会话ala Firesheep。
现在,您可以通过使整个站点使用HTTPS来解决此问题,但如果有人在mysite.com中键入,则浏览器默认为http。我们可以通过重定向来解决这个问题:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
但是当我有机会重写网址时,我的会话cookie是否已经通过不安全的频道发送了?
答案 0 :(得分:2)
使用安全选项将您的会话cookie标记为仅限HTTPS。