ASP.NET SSL身份验证票证安全性？

我打算在登录表单上使用SSL，以便在用户登录期间对用户名和密码进行加密

但是，在对用户进行身份验证之后，如果我返回HTTP，在每次请求时，自动验证Cookie将从客户端传递到服务器。这有多安全？显然，我将在用户输入敏感信息的页面上使用SSL，但在大多数情况下，出于性能原因，我只希望它们保持身份验证并使用HTTP

我注意到，如果我在web.config的表单身份验证部分中设置requiressl=“True”，那么如果我使用HTTP，则不会传递身份验证cookie，因此我无法识别当前用户

我想我的问题是：

---

“设置requiressl=“false”并允许身份验证cookie通过HTTP是否是一种不好的做法？

如果设置了

protection=“All”

，则表单身份验证cookie将被加密并使用服务器的机器密钥进行检查，因此返回HTTP并不是特别糟糕

谢谢blowdart-是的，所以我想如果一个跨站点脚本编写者劫持了cookie，至少他们看不到里面有什么。但是-我担心他们会发送带有cookie的请求，然后假装是经过身份验证的用户？服务器不会知道有什么区别。cookie是HTTP的，所以XSS会被缓解（除了Safari不遵守这一点）啊-是这样的！我从来不知道！因此，只有服务器才能访问它。那样的话，我觉得很安全。如果没有人告诉我任何不同的话，我明天就结束这个-谢谢你除了Safari用户，当然安全！