通过HTTPS发送cookie但通过HTTP发送HTML

时间:2011-02-10 09:21:08

标签: php http cookies https session-cookies

HTTPS成本很高,所以我想通过HTTPS发送会话cookie,通过HTTP发送网站HTML(不安全)。

1)在登录期间,cookie和登录数据通过HTTPS发送给用户。

2)在页面请求期间,cookie通过HTTPS发送到服务器,但响应(响应中没有cookie!)是通过不安全的HTTP发送的。

是否可以通过HTTPS向服务器发送Cookie,但是通过HTTP接收HTML?

这是为了消除会话劫持的变化。发送的HTML不需要保护。

3 个答案:

答案 0 :(得分:4)

没有。响应在与请求相同的通道中执行,因此两者都必须是HTTP或HTTPS。

答案 1 :(得分:0)

通过每次请求向服务器发送Cookie。唯一的方法是使用HTTPS从一个域发送cookie,并使用HTTP从另一个域(或子域)发送其他所有内容。这意味着您在使用HTTP时无法利用会话或cookie。

最实用的方法是通过HTTPS请求一个非常小的页面,其中有一些javascript通过HTTPS请求所有用户特定数据并通过普通的旧请求所有静态信息(图像,html,css等) HTTP。

答案 2 :(得分:0)

请记住,混合HTTP和HTTPS并不安全,攻击者可能会影响您的站点修改http资源。