HTTP / HTTPS が混在するサイトがあります。ユーザーがログインすると、次の 2 つの Cookie が取得されます。
- 彼女の (署名された) ユーザー名、ログインの有効期限、および「安全でない」フラグを含む通常の Cookie
- 彼女の (署名された) ユーザー名、ログインの有効期限、および「安全な」フラグを含む安全な Cookie
- 署名されたコンテンツ内に安全/安全でないフラグがない場合、攻撃者は通常の Cookie を傍受し、それを安全なものとして送信できることに注意してください (私の最初の実装はこの間違いを犯しました)
私は HTTP ページで通常の Cookie を使用します (彼女がサイトのマーケティング部分をブラウズしている間に彼女の名前を表示するためだけに)。次に、彼女が HTTPS ページ (ユーザー固有のページ) にアクセスしているときに、安全な Cookie を使用します。
Secure cookie と混合 https/http サイトの使用法からアイデアを得ました。
ユーザーが HTTPS ページから HTTP ページに移動すると、すべての安全な Cookie が削除されることを除いて、すべてがうまく機能します。ユーザーを HTTPS から HTTP にリダイレクトする「301 Moved Permanently」があることに注意してください。
私のサイトは安全な Cookie をクリアしていません。ユーザーが HTTP サイトを見ている間、ブラウザーが安全な Cookie を送信してはならないことはわかっていますが、Cookie は存続期間中保持され、ユーザーが HTTPS ページに戻った場合に送信されると予想していました。
Chrome、Firefox、および IE でも同じ動作が発生します。任意のヒント?これが期待される動作ではないことを願っています...