ira*_*hil 2 cookies ssl https session-cookies
据我所知,我们使用SSL来加密敏感数据,如用户名和密码,以便在没有网络窃听的情况下传输到服务器.因此,服务器通过HTTPS返回一个安全令牌,并将其存储在cookie中.我们在拥有安全令牌后切换到HTTP,我们将cookie /安全令牌标头附加到每个HTTP请求.
现在任何人都可以看到我的安全令牌,他们可以窃听它并冒充我.我的理解是否正确?
可以根据协议设置cookie,以便HTTPS不用于HTTP,反之亦然.此外,正确构造的安全令牌应包括IP地址并具有较短的到期时间.
但总的来说,最好的想法当然是将经过身份验证的会话保持在安全通道中 - 这些天SSL并不是那么重量级(因为计算机变得比首次引入SSL时快得多)而且最重要的部分是握手,仅执行如果使用持久HTTP连接(或使用SSL会话恢复时).
| 归档时间: |
|
| 查看次数: |
11674 次 |
| 最近记录: |