单向HTTPS加密会话ID?

时间:2011-10-05 10:52:01

标签: web session-cookies protection

这是一个新手问题。

使用HTTPS整个时间对服务器征税,因为所有内容都必须加密/解密。

如果我只想保护发送到浏览器的会话ID并保存为cookie以避免中间人嗅探会话ID,我想知道是否只有在浏览器发送会话时才能启用HTTPS ID与HTTP查询一起,而服务器以普通HTTP发送回复?

谢谢。

2 个答案:

答案 0 :(得分:1)

不,这是不可能的 - 浏览器和服务器协作设置双向通道,并将其用于两个方向。

在任何情况下,使用SSL的大部分开销都来自设置连接,而不是使用连接,并且您将无法节省此开销。

答案 1 :(得分:0)

您可以编写一个过滤器,该过滤器接收每个请求并重定向到非https等效URL吗? 这样每个请求都会请求https,然后回复http?