Poi*_*nty 17
它以加密方式传输到服务器和从服务器传输,因此它与TLS一样安全.
您还可以将cookie标记为仅用于客户端 - >服务器通信,并通过在"Set-cookie"响应头中添加"HttpOnly"标志来阻止从客户端Javascript访问.
编辑 - 并且正如@Bruno建议的那样,您还可以使用"安全"标志(在同一标头中)告诉浏览器cookie应该只在https请求中发送回服务器.正如@DW在较新的评论中指出的那样,这可能非常重要,因为您几乎肯定不希望您的重要安全cookie可能在不安全的交互中传输(例如,在从非安全公共部分登录之前)现场).如果与特定cookie域的所有交互都是HTTPS,那么这可能不是必需的,但它是如此简单,以至于没有理由不这样做.
编辑 - 更新,很久以后:使用secure标志:)
Cookie在HTTP标头中发送.因此,它们与HTTPS连接一样安全,这取决于许多SSL/TLS参数,如密码强度或公钥长度.
请记住,除非您Secure为Cookie 设置了标记,否则Cookie可以通过不安全的HTTP连接进行传输.有一些中间人攻击使用这种不安全的Cookie来窃取会话信息.因此,除非您有充分的理由不这样做,否则当您希望它们仅通过HTTPS传输时,请始终为Cookie设置安全标志.
| 归档时间: |
|
| 查看次数: |
1841 次 |
| 最近记录: |