ang*_*guy 44 ssl servlets http-headers
对SO的回顾并未明确回答这个问题.可以暗示,但我想特别记录下来.
如果SSL处于活动状态,它将加密HTTP标头数据,如"set-cookie"?我知道"setSecure"仅在HTTPS处于活动状态时才传输cookie,但如果SSL处于活动状态,我想确认所有头数据是否默认加密而无需使用"setSecure".
Dpp*_*Dpp 60
通过SSL(HTTPS)发送的数据是完全加密的,包括标头(因此是cookie),只有您发送请求的主机未加密.它还意味着GET请求已加密(URL的其余部分).
虽然攻击者可以强制客户端通过HTTP进行响应,但强烈建议您在cookie中使用"安全"标志,强制使用HTTPS发送cookie.
此外,使用HTTPOnly标志将极大地增强您网站的安全性,因为它不允许使用Javascript代码读取Cookie(减少潜在的XSS漏洞).