我正在使用https和php,并有一些安全问题:
+我看到了这个链接:
"secure" parameter in session_set_cookie_params
这是否意味着即使安全标志设置了cookie,它只允许客户端将其传递给https地址?如果cookie包含session_id,我应该在从服务器发送之前对其进行加密,然后在接收时对其进行解密吗?
+当我从https页面登录https地址时,firefox会在POST数据中显示纯文本密码。这是安全隐患吗?我还可以将表单放在常规的http页面上而不存在安全风险吗?
更新:我正在尝试做的是阻止会话劫持。我不应该通过http发送任何包含session_ids的cookie吗?这是我正在研究的kohana脚本,即使没有登录,它似乎也会启动会话。我正在考虑在session_start()之前检查https;
答案 0 :(得分:1)
只要POST操作提交到HTTPS网址,您就可以安全地从通过HTTP访问的表单提交数据。
将表单放在HTTPS页面上是一种最佳实践,因为用户感觉很好,因为如果显示表单的页面未显示通过HTTPS连接,人们可能会对表单中的安全信息提交持怀疑态度。< / p>