HTTPS経由でHTTP経由でクッキーを送信する

Question

HTTPSはコストがかかるので、HTTPSを介してセッションCookieのみを送信し、HTTP（セキュリティで保護されていない）を介してWebサイトHTMLを送信します。

1）ログイン中、CookieとログインデータはHTTPSを介してユーザーに送信されます。

2）ページリクエスト中、HTTPS経由でサーバーに送信されますが、レスポンス（クッキーはありません）がセキュアでないHTTP経由で送信されます。

HTTPS経由でサーバーにCookieを送信できますが、HTTP経由でHTMLを受信できますか？

この理由は、セッションハイジャックの変更を排除するためです。 HTMLを送信する必要はありません。

Answer 1

いいえ応答は要求と同じチャネルで実行されるため、両方ともHTTPまたはHTTPSでなければなりません。

Answer 2

クッキーはEVERYとサーバーに送信されます。その周りの唯一の方法は、HTTPSを使用して1つのドメインからCookieを送信し、HTTPを使用して他のドメイン（またはサブドメイン）からすべてを送信することです。つまり、HTTPを使用しているときにセッションやCookieを利用することはできません。

これを行う最も実際的な方法は、HTTPSを介してすべてのユーザー固有のデータを要求し、すべての静的情報（画像、HTML、CSSなど）をプレーン古いHTTP。

Answer 3

HTTPとHTTPSを混在させることは安全ではなく、攻撃者がhttpリソースを変更してサイトに影響を与える可能性があることに注意してください。