Как общаться / делиться сессией между страницами через HTTP и HTTPS

Question

Какова обычная практика для кодирования веб-приложений, когда часть сайта должна быть защищена (например, раздел оформления заказа), а часть - не обязательно, скажем, домашняя страница? Насколько я знаю, совместное использование сеансов между HTTP и HTTPS частями сайта не легко возможно (или это?). Каков был бы общий подход, если бы я хотел отобразить на странице HTTP, например, на домашней странице, данные (элементы) корзины покупок, которые пользователи заказывали на страницах HTTPS? Как эти две части сайта будут общаться в случае необходимости? Кроме того, не является ли это недостатком безопасности в популярных корзинах для покупок, так как многие из них имеют только защищенные страницы проверки (SSL), а остальные нет? Я использую PHP, если это имеет какое-либо значение.

Answer 1

Самый простой ответ состоит в том, чтобы все ссылки на ваши "защищенные" страницы ссылались на https://. Очевидно, это может быть своего рода кошмаром в зависимости от сайта.

Другой альтернативой является настройка правил перезаписи URL для автоматического перенаправления защищенных страниц на https:// при попытке доступа к ним через http://

Проверьте mod_rewrite для Apache, если вы не знакомы с концепцией. В зависимости от того, какой веб-сервер вы используете, для достижения той же функциональности доступны другие варианты, но это должно дать вам представление о том, какие у вас есть варианты. Я предполагаю, что поскольку вы используете PHP, вы используете Apache, но не может быть так?

Я бы сказал, что это, вероятно, самый распространенный подход. Если все защищенные страницы находятся в заданном каталоге, это еще проще, поскольку вы можете написать правила, чтобы сказать, что все в этом каталоге должно запрашиваться через https://,, в противном случае http:// подходит. 1018 *

Answer 2

Я могу рассказать вам, что я сделал для сайта электронной коммерции, который я создал с нуля. Весь его сайт - HTTP, который включает проверку с помощью чека (то есть они заполняют свою информацию, генерируется счет-фактура, а чек отправляется продавцу по почте). Но обработка кредитной карты осуществляется на стороне Paypal, то есть HTTPS. Но для того, чтобы получить данные корзины в Paypal, я использовал скрытые элементы публикации, а Paypal сделал все остальное.

Не самая лучшая система, но она работает.

Answer 3

Довольно распространенная практика - использовать куки для хранения данных корзины на сайте. Безопасность не проблема, потому что вы заботитесь только о том, чтобы данные вашей кредитной карты передавались по проводам. Список вещей, которые я хочу купить, не особенно чувствителен.