HTTPS成本很高,所以我想通过HTTPS发送会话cookie,通过HTTP发送网站HTML(不安全)。
1)在登录期间,cookie和登录数据通过HTTPS发送给用户。
2)在页面请求期间,cookie通过HTTPS发送到服务器,但响应(响应中没有cookie!)是通过不安全的HTTP发送的。
是否可以通过HTTPS向服务器发送Cookie,但是通过HTTP接收HTML?
这是为了消除会话劫持的变化。发送的HTML不需要保护。
答案 0 :(得分:4)
没有。响应在与请求相同的通道中执行,因此两者都必须是HTTP或HTTPS。
答案 1 :(得分:0)
通过每次请求向服务器发送Cookie。唯一的方法是使用HTTPS从一个域发送cookie,并使用HTTP从另一个域(或子域)发送其他所有内容。这意味着您在使用HTTP时无法利用会话或cookie。
最实用的方法是通过HTTPS请求一个非常小的页面,其中有一些javascript通过HTTPS请求所有用户特定数据并通过普通的旧请求所有静态信息(图像,html,css等) HTTP。
答案 2 :(得分:0)
请记住,混合HTTP和HTTPS并不安全,攻击者可能会影响您的站点修改http资源。