Security 从https到http的安全重定向
我有一个站点,在初始登录页面(https)后,它应该重定向到http站点。Security 从https到http的安全重定向,security,http,https,verification,Security,Http,Https,Verification,我有一个站点,在初始登录页面(https)后,它应该重定向到http站点。 我注意到https和http请求之间没有传递会话cookie。 这样做的安全方法是什么? 现在,作为一个临时解决方案,我生成了一个一次性唯一密钥,以便在我第一次从https移动到http时使用。这将在验证后重新创建用户会话 这样做的安全方法是什么 没有。充其量,您最终会以明文形式发送会话令牌,并对会话劫持持开放态度。在最坏的情况下,您将用户暴露于MitM攻击(即使在您和用户都认为安全的页面上,只要他们是从仅http的页面
我注意到https和http请求之间没有传递会话cookie。
这样做的安全方法是什么?
现在,作为一个临时解决方案,我生成了一个一次性唯一密钥,以便在我第一次从https移动到http时使用。这将在验证后重新创建用户会话 这样做的安全方法是什么 没有。充其量,您最终会以明文形式发送会话令牌,并对会话劫持持开放态度。在最坏的情况下,您将用户暴露于MitM攻击(即使在您和用户都认为安全的页面上,只要他们是从仅http的页面到达该页面的)
通过HTTPS为整个站点提供服务。开销并没有那么高,而且它消除了许多潜在的安全隐患。它们基本上是正确的。如果未设置安全标志,则将保留cookie:。然而,这是朝着错误方向迈出的一步,请参见@Aurand的答案(+1'd)。