和(2)是的，你需要添加你的逻辑在什么页面将仅显示为https和什么作为http。如果有人想知道，为什么不显示所有为https的原因是速度，当您发送它们作为https页面更大，编码/解码需要一点点，所以如果你不需要https，只需切换它到http

Switching Between HTTP and HTTPS Automatically是一个非常好的代码，用于实现切换逻辑快捷简单。

饼干

当cookie与用户的凭据有关时，您需要强制其仅在安全页面传输。这是什么意思，这意味着如果您使用https设置Cookie，则此Cookie不会在非安全页面上传输，因此保持安全，中间的人不能窃取。这里的提示是，这个cookie不能在http页面上读取，所以您可以知道用户是A，或者B只在安全页面上。

购物车 – 产品

是的，这是正常的：将产品和购物车放在不安全的连接上，因为信息不是特别的。当您使用用户实际数据(例如姓名，电子邮件，地址等)时，您可以启动https页面。

认证cookie

如果您将其设置为安全的，则该Cookie不会在不安全的页面上显示/读取/存在。如果您不安全，这是一个问题。

Response.Cookies[s].Secure = true;

几句话

我们用安全和非安全的页面做的是我们实际上将用户数据分为两部分。一个是安全的，而不是一个。所以我们实际上使用了两个cookie，一个是安全的，一个是不安全的。

不安全的cookie例如是连接购物车上的所有产品，或者可能是用户的历史(什么产品看到的)，这也是我们实际上并不在意，如果有人得到它，因为即使代理可以看到从url的用户历史，或用户看到的。

安全cookie是认证，为用户保留一些关键信息。所以非安全的cookie是用户在页面上的任何地方，安全只是在签出，登录等等。

有关

MSDN,How To: Protect Forms Authentication in ASP.NET 2.0@H_502_5@Setting up SSL page only on login page@H_502_5@Can some hacker steal the cookie from a user and login with that name on a web site?