( hzsolt94 | 2017. 04. 13., cs – 22:20 )

Korrekt session kezelés él illik új id-t generálni minden kritikus esemény után, így a logót után is. Vagy éppen szét lehet szedni külön subdomainre a https és a http tartalmat, hogy a same-origin policy miatt ne lehessen így cookiet injektálni.

Ettől függetlenül a normális biztonsági szemlélet az, hogy minél kevesebb hibalehetőséget hagyjunk, úgyhogy ez is egy remek példa arra, miért rossz a mixed-content.