3)缺乏狀態跟蹤

HTTP協議采取的請求、響應模式決定了它是一個無狀態的協議。客戶端在需要與服務器連接時才建立TCP連接，獲取完連接數據后，TCP連接就被斷開，再次交換數據需要建立新的連接，因此HTTP協議不會維持一個持續的會話。這一機制在Webl.0時代不會產生問題，而在Web2.0時代，由于交互性的要求，需要提供狀態機制。Session是用于解決http無協議缺乏狀態跟蹤的方式，但是也帶來了相應的安全問題。對于已經驗證過的用戶，只Session ID就可以稱為身份驗證的方式，攻擊者如果能獲取用戶的有效會話Session ID（服務器沒有釋放這個session ID，無需用戶名和密碼，就能以此用戶的身份去操縱Web應用，這種攻擊方式被稱為Session欺騙。

針對Http協議存在的安全問題，解決措施是在HTTP的基礎上加入了SSL協議，這就是安全套接字層超文本傳輸協議（Hyper Text Transfer Protocol over Secure Socket Layer，Htts）。 SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。相比Http協議，https具有較高的安全性，但對系統性能的開銷更大，隨著云計算技術的發展，服務端提高計算禽旨力的成本越來越低，全站https逐步已經成為一些高安全web應用的選擇。