3)缺乏狀態(tài)跟蹤

HTTP協(xié)議采取的請求、響應模式決定了它是一個無狀態(tài)的協(xié)議。客戶端在需要與服務器連接時才建立TCP連接，獲取完連接數(shù)據(jù)后，TCP連接就被斷開，再次交換數(shù)據(jù)需要建立新的連接，因此HTTP協(xié)議不會維持一個持續(xù)的會話。這一機制在Webl.0時代不會產生問題，而在Web2.0時代，由于交互性的要求，需要提供狀態(tài)機制。Session是用于解決http無協(xié)議缺乏狀態(tài)跟蹤的方式，但是也帶來了相應的安全問題。對于已經驗證過的用戶，只Session ID就可以稱為身份驗證的方式，攻擊者如果能獲取用戶的有效會話Session ID（服務器沒有釋放這個session ID，無需用戶名和密碼，就能以此用戶的身份去操縱Web應用，這種攻擊方式被稱為Session欺騙。

針對Http協(xié)議存在的安全問題，解決措施是在HTTP的基礎上加入了SSL協(xié)議，這就是安全套接字層超文本傳輸協(xié)議（Hyper Text Transfer Protocol over Secure Socket Layer，Htts）。 SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。相比Http協(xié)議，https具有較高的安全性，但對系統(tǒng)性能的開銷更大，隨著云計算技術的發(fā)展，服務端提高計算禽旨力的成本越來越低，全站https逐步已經成為一些高安全web應用的選擇。