我是一个老的手在C，但在的Java / Tomcat的原始新手。

我很好独自一人在Tomcat的HTTP会话管理。 其时，我来看看切换到，我已经有问题的HTTPS。

我收集为Tomcat，你必须开始一个HTTP会话，如果你想为你从http切换到https并返回到http维护会话。 当浏览器饼干启用此工作正常，我。

但是，当浏览器饼干禁用（并且正在使用URL重写），然后切换到HTTP或HTTPS再次引起一个新的会话中每次启动。 我假设这是一个安全的事情。

Q1 - 是否有可能/最好保持在HTTP和使用URL重写HTTPS会话？

Q2 - 如果它不是那么可能做什么电子商务开发人员做一下非cookie的用户？

我不想防止非cookie的人在使用我的网站。 我想有一定的灵活性HTTP和HTTPS之间切换。

感谢您的帮助，史蒂芬。

它似乎并不希望使用相同的cookie或URL标记之间保持HTTP和HTTPS会话。

想像一下你的用户登录，与给定的cookie（或URL令牌）来回传递在一个电子商务网站每个请求/响应的情况。 如果有人在中间的是能够读取cookie时，他就可以登录到HTTP或与它的网站HTTPS的变体。 即使不论那么合法用户正在做的是通过HTTPS，攻击者仍然可以访问该会话（因为他也将拥有合法的cookie）。 他能看到这样的车，付款方式页面，也许改变的送货地址。

这是有道理的通过某种形式的HTTP会话和HTTPS会话（如果你使用的会话）之间的令牌，而是将它们视为同一个会导致一些漏洞。 创建查询参数一次性令牌只是过渡可能是一个解决方案。 然而，你应该把它们作为两个独立的身份验证的会话。

此漏洞可以通过使用混合的HTTP和HTTPS内容的网站时有发生（某些浏览器如Firefox会给你一个警告，这种情况发生的时候，虽然大多数人往往将其禁用它第一次弹出）。 您可能对主网页的HTTPS会话cookie，但该页面包含图像，为公司的标志，通过纯HTTP。 不幸的是，浏览器将发送两个cookie的（所以攻击者能够饼干即可）。 我已经看到了这一点，即使有问题的图像甚至不在那里（浏览器将发送带有该cookie的服务器的请求，即使它返回一个404未找到）。