Estaba realizando una investigación de seguridad sobre el almacenamiento del ID de sesión en el almacenamiento local en lugar de almacenarlo en cookies. Entiendo que no es posible etiquetar los valores en el almacenamiento local como HttpOnly y, por lo tanto, puede ser vulnerable a los ataques XSS. Dado que todas las entradas están validadas correctamente, estoy libre de este problema.
Pero el otro problema que encontré es la manipulación de los datos durante la transferencia al servidor. Dado que mi ID de sesión de almacenamiento local no se puede etiquetar en Secure
, es posible que se pueda transmitir a través de un canal no cifrado (HTTP). Para mitigar esto, quiero saber si es posible acceder a una página a través de HTTP que está protegida con SSL.