https 和 http 之间的 PHP SESSION 变量

Question

我有一个网站，有一个安全区域 (https) 和网站的其余部分，即 http。使用会话变量在 https 端登录，一切都运行良好，并且安全区域运行良好。

我的问题： 我在网站上每个 http 页面的顶部都有一个“登录/注册”按钮。我希望这能够反映登录状态并更改为“注销”，并且还有一些其他登录按钮可以简单地重定向到 https 页面。我不想以任何方式操纵 http 页面上的任何数据或其他安全信息。

在 IE8 中，在 http（主页上）中检测到 https 创建的用于登录的会话变量，并正确显示替代的“注销”链接。但是，在所有其他浏览器中，http 中不存在会话变量。在不造成巨大安全漏洞的情况下解决此问题的最简单方法是什么？哦，除了 http 和 https 之外，url 都是相同的。

Answer 1

许多网站使用的一种简单方法是通过脚本在客户端实际加载按钮，该脚本向 HTTPS url 发出请求以确定用户是否登录，而不是使用 HTML它是 HTTP 服务页面的一部分。

Answer 2

如果您想保护会话 cookie，您需要确保浏览器仅以 HTTPS 方式发送 cookie。因此，任何从 HTTP 通信中找出登录状态的方法都是不安全的。

我+1 Amber 发布的解决方案。