通过HTTPS读取使用HTTP设置的cookie

Question

可以使用HTTPS读取使用HTTP设置的cookie吗？

Answer 1

使用"安全"关键字设置的Cookie仅在通过安全方式(HTTPS)连接时由浏览器发送.除此之外没有区别 - 如果没有"安全",cookie可能会通过不安全的连接发送.

换句话说,要保护内容的cookie应该使用secure关键字,只有当用户通过HTTPS连接时,才应将它们从服务器发送到浏览器.

• HTTP:只有在HTTPS连接上才会返回带有"安全"的 Cookie (没有意义,请参阅下面的注释)
• HTTPS:仅在HTTPS连接上返回带有"安全"的 Cookie
• HTTP:将在HTTP或HTTPS连接上返回没有"安全"的 Cookie
• HTTPS:没有"安全"的 Cookie 将在HTTP或HTTPS连接上返回(可能泄漏安全信息)

参考:RFC 2109 参见4.2.2(第4页),4.3.1

注意:在实施严格安全Cookie规范后,不再可能在Firefox和Chrome上设置不安全(例如HTTP)来源的"安全"Cookie .