使用相同的cookie或URL令牌维护HTTP和HTTPS之间的会话似乎并不理想。
想象一下您的用户登录的情况,对于电子商务网站中的每个请求/响应,来回传递给定的cookie(或URL令牌)。如果中间的人能够读取该cookie,则可以使用它登录到该站点的HTTP或HTTPS变体。即使合法用户随后通过HTTPS进行操作,攻击者仍将能够访问该会话(因为他也将拥有合法cookie)。他可以看到购物车,付款方式之类的页面,或者更改送货地址。
在HTTP会话和HTTPS会话之间传递某种形式的令牌(如果您使用的是会话)是有意义的,但是将它们视为一个令牌并且将它们视为相同会导致一些漏洞。在查询参数中创建一次性标记,只是过渡可能是一种解决方案。但是,您应该将它们视为两个单独的经过身份验证的会话。
有时,使用混合HTTP和HTTPS内容的网站可能会发生此漏洞(某些浏览器(例如Firefox)会在发生这种情况时向您发出警告,尽管大多数人倾向于在第一次弹出时将其禁用)。您可以在主页上使用HTTPS会话cookie,但是该页面包含使用纯HTTP的公司徽标的图像。不幸的是,浏览器会同时发送两个cookie(这样攻击者便可以使用cookie)。我已经看到了这种情况的发生,即使所讨论的图像甚至不存在(浏览器会将带有cookie的请求发送到服务器,即使它返回了404都没有找到)。
