HTTPS的成本很高,因此我只想通过HTTPS发送会话cookie,并通过HTTP发送网站HTML(不安全)。
1)登录期间,cookie和登录数据通过HTTPS发送给用户。
2)在页面请求期间,cookie通过HTTPS发送到服务器,但是响应(没有响应的cookie!)通过不安全的HTTP发送。
是否可以通过HTTPS将Cookie发送到服务器,但可以通过HTTP接收HTML?
这样做的原因是为了消除会话劫持的更改。 发送的HTML不一定是必须保护的。
否。响应在与请求相同的通道中执行,因此两者都必须是HTTP或HTTPS。
请记住,混合使用HTTP和HTTPS是不安全的,攻击者可能会影响您的网站修改HTTP资源。
Cookies随每个请求发送到服务器。 唯一的解决方法是使用HTTPS从一个域发送cookie,并使用HTTP从另一域(或子域)发送其他内容。 这意味着使用HTTP时无法利用会话或cookie。
最实用的方法是通过HTTPS请求一个非常小的页面,该页面具有一些JavaScript,可以通过HTTPS请求所有用户特定的数据,并通过普通的旧HTTP请求所有静态信息(图像,html,css等)。