fst*_*str 4 javascript security cookies xss https
安全 cookie 标志会停止通过 HTTP 发送 cookie。HTTPOnly 标志阻止 JavaScript 访问 cookie。
仅 HTTPS 的站点始终使用 Secure 和 HTTPOnly cookie 是否是现实的准则?混合 HTTPS 和 HTTP 站点怎么样?有什么缺点?
显然,如果您需要 HTTPS 和 HTTP 页面上的 cookie,以及您网站的 JavaScript 访问权限,您就不能使用这些标志,但是一个设计良好的网站是否需要这样做?
仅 HTTPS 的站点始终使用 Secure 和 HTTPOnly cookie 是否是现实的准则?
是的。
混合的 HTTPS 和 HTTP 站点怎么样?
不要创建混合的 HTTPS/HTTP 站点。只是……不要。
CPU 不再那么昂贵,以至于在任何地方使用 HTTPS 都是一个严重的开销。搜索引擎仅将 HTTPS 视为积极的排名指标。
有什么缺点?
没有。
如果您确实需要从普通 HTTP 或 JS 访问 cookie,那么您可以关闭该设置。这就是指导方针的重点,你可以在有充分理由的情况下打破它们。在这种情况下很少有。