如何通过HTTP和HTTPS在页面之间通信/共享会话

Question

在网站的一部分(例如结账部分)必须受到保护而部分网站不一定是安全的情况下，编写web应用程序的常见做法是什么，比如说主页？据我所知，在站点的HTTP和HTTPS部分之间共享会话并不容易(或者是这样？)。如果我想在HTTP页面上显示用户在HTTPS页面上订购的购物车数据(项目)，那么常用的方法是什么？如果有必要，站点的这两个部分将如何通信？而且，这不是流行购物车的安全缺陷吗?因为其中许多购物车似乎只有结账页面安全(SSL)，而其余的则没有。如果有什么不同的话，我会使用PHP。

Answer 1

最简单的答案是让所有指向安全页面的链接都链接到https://.显然，根据网站的不同，这可能是一场噩梦。

另一种方法是设置URL重写规则，以便在尝试通过https://http://访问安全页面时自动将其定向到

如果您不熟悉这个概念，请查看mod_rewrite for Apache。根据您使用的web服务器的不同，还可以使用其他选项来实现相同的功能，但这应该会让您了解您的选项是什么。我假设您使用的是PHP，所以您使用的是Apache，但不可能是这样吧？

我想说这可能是最常见的方法。如果所有的安全页面都驻留在一个给定的目录中，那就更容易了，因为您可以编写规则，说明该目录中的所有内容都必须通过https://，http://请求，否则适用于。

Answer 2

使用cookies在整个站点中存储购物车数据是非常常见的做法。安全性不是问题，因为您只关心通过网络传输的信用卡数据。我想买的东西清单并不是特别敏感。

Answer 3

我可以告诉你我为一个我从头开始创建的电子商务网站做了什么。他的整个网站都是HTTP，其中包括用支票结账(即他们填写自己的信息，生成发票，然后将支票邮寄给卖家)。但是，信用卡处理是在Paypal的一侧完成的，这是HTTPS。但是，为了得到购物车的数据到Paypal，我使用隐藏的post元素，Paypal做了其余的事情。

不是最好的系统，但它是有效的。