Korrekt session kezelés él illik új id-t generálni minden kritikus esemény után, így a logót után is. Vagy éppen szét lehet szedni külön subdomainre a https és a http tartalmat, hogy a same-origin policy miatt ne lehessen így cookiet injektálni.
Ettől függetlenül a normális biztonsági szemlélet az, hogy minél kevesebb hibalehetőséget hagyjunk, úgyhogy ez is egy remek példa arra, miért rossz a mixed-content.