[英]Is a cookie secure in a HTTPS connection?
在HTTPS连接中cookie是安全的吗?
它以加密方式传输到服务器和从服务器传输,因此它与TLS一样安全。
您还可以将cookie标记为仅用于客户端 - >服务器通信,并通过在“Set-cookie”响应头中添加“HttpOnly”标志来阻止从客户端Javascript访问。
编辑 - 并且正如@Bruno建议的那样,您还可以使用“安全”标志(在同一标头中)告诉浏览器cookie应该只在https请求中发送回服务器。 正如@DW在较新的评论中指出的那样,这可能非常重要,因为您几乎肯定不希望您的重要安全cookie可能在不安全的交互中传输(例如,在从非安全的公共部分登录之前)现场)。 如果与特定cookie域的所有交互都是HTTPS,那么这可能不是必需的,但它是如此简单,以至于没有理由不这样做。
编辑 - 更新,很久以后:使用secure标志:)
在这方面,是的。 但它仍然存储在未加密的客户端机器上。
Cookie在HTTP标头中发送。 因此,它们与HTTPS连接一样安全,这取决于许多SSL / TLS参数,如密码强度或公钥长度。
请记住,除非您为Cookie设置Secure标志,否则Cookie可以通过不安全的HTTP连接进行传输。 有一些中间人攻击使用这种不安全的Cookie来窃取会话信息。 因此,除非您有充分的理由不这样做,否则当您希望它们仅通过HTTPS传输时,请始终为Cookie设置安全标志。
有没有办法在https安全隧道旁边更安全地保护cookie?
[英]Is there a way to more secure a cookie beside the https secure tunnel?
cookie是否可以用HTTPS制作,如果安全性为假,则可以在HTTP中使用?
[英]Can a cookie be made in HTTPS, and used in HTTP if secure is false?
使用安全会话 cookie 在 HTTP 和 HTTPS 页面之间切换
[英]Switching between HTTP and HTTPS pages with secure session-cookie
检查安全cookie并在HTTPS模态中重定向非HTTPS父级
[英]Checking for a secure cookie and redirecting a non-HTTPS parent inside an HTTPS modal
通过安全的https连接进行CHAP身份验证真的有用吗?
[英]Is CHAP authentication really useful over a secure https connection?
尽管session.cookie_secure为0,PHPSESSID仅在通过HTTPS提供服务时显示/工作
[英]PHPSESSID only showing/working when served through HTTPS, despite session.cookie_secure being 0
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
