通过HTTPS发送Cookie但通过HTTP发送HTML
问题描述:
HTTPS代价高昂,所以我只想通过HTTP(不安全)通过HTTPS和网站HTML发送会话cookie。通过HTTPS发送Cookie但通过HTTP发送HTML
1)登录时,cookies和登录数据通过HTTPS发送给用户。
2)在页面请求期间,cookie通过HTTPS发送到服务器,但通过不安全的HTTP发送响应(没有响应的cookie)。
是否可以通过HTTPS向服务器发送cookie,但通过HTTP接收HTML?
原因是为了消除会话劫持的变化。发送HTML不需要被保护。
答
否。响应在与请求相同的通道中执行,因此它们都必须是HTTP或HTTPS。
答
Cookie与一起发送每个请求到服务器。唯一的解决方法是使用HTTPS从一个域发送cookie,并使用HTTP从其他域(或子域)发送其他所有内容。这意味着您在使用HTTP时无法利用会话或cookie。
要做到这一点的最实际的方法是通过HTTPS请求一个非常小的页面,该页面有一些javascript通过HTTPS请求所有用户特定的数据并通过plain请求所有的静态信息(图像,html,css等)旧的HTTP。
答
请记住,混合HTTP和HTTPS不安全,攻击者可能会影响您的站点修改http资源。