0
我有一個最初的登錄頁面(在HTTPS)之後應該重定向到一個HTTP站點的站點。
我注意到會話cookie不會在https和http請求之間轉移。
這將是一個安全的方式來做到這一點?
現在作爲臨時解決方案,我生成一次性唯一密鑰,以便在我第一次從https移至http時使用。這在驗證後重新創建用戶會話。安全重定向到http
A
回答
1
什麼是做到這一點的安全方式?
沒有一個。充其量,你最終會清楚地發送會話令牌,並且會話劫持是開放的。在最壞的情況下,您會將用戶暴露給MitM攻擊(即使您和用戶認爲這些頁面都是安全的,只要他們從http專頁訪問)。
通過HTTPS整個網站。開銷並不高,並且消除了很多潛在的安全缺陷。
相關問題
- 1. 安全重定向從HTTP到HTTPS
- 2. http到https重定向的安全性
- 3. 重定向到來自安全(https)的不安全內容(http)
- 4. ASP.Net重定向到安全
- 5. 從安全https重定向到只有一個頁面的http
- 6. 安全問題關於從HTTPS重定向到HTTP?
- 7. 春季安全http-form重定向到404頁
- 8. 將https重定向到非安全magento頁面上的http
- 9. 強化不安全重定向...但重定向到你自己?
- 10. 重定向到安全服務器(https)
- 11. 重定向到安全移動站點
- 12. 重定向到安全區域(ssl)
- 13. 子域重定向到安全版本
- 14. 安全的Javascript重定向
- 15. .htaccess重定向安全
- 16. mod_rewrite安全重定向
- 17. PHP重定向安全
- 18. Windows 8.1 Windows.Web.HTTP.HTTPClient - 安全到非安全重定向例外
- 19. 使用htaccess將安全域重定向到安全子域
- 20. Magento重定向安全www到安全非www
- 21. 將不安全網站重定向到安全網站
- 22. 彈簧安全重複重定向
- 23. 重寫彈簧安全重定向URL
- 24. Nginx - 在離開安全頁面時將HTTPS重定向回HTTP
- 25. HTTP重定向到SOAP Webservice
- 26. 重定向到HTTPS HTTP只
- 27. https到http重定向
- 28. 將HTTPS重定向到HTTP
- 29. apache http:重定向到https:
- 30. 重定向從http://到https://
大多數情況下,他們的方式就是你做的。 http://stackoverflow.com/a/7244166/156775 – Nishant
如果沒有設置安全標誌,Cookie將被結轉:https://www.owasp.org/index.php/SecureFlag。然而,這是朝着錯誤的方向邁出的一步,請參閱@Aurand的答案(+1)。 – SilverlightFox