是否必须通过 HTTPS 向 Cookie 添加安全标志
Is it compulsory to add Secure Flag to a Cookie over HTTPS
知道我的网站只有 HTTPS 并且我添加了 cookie.SecureFlag = true 。我也想为 HTTP 打开它,所以我被迫将 SecureFlag 删除到 cookie 中,因为它无法处理它。您能否告诉我通过 HTTPS (SSL) 发送的 cookie 是否需要安全标志?没有它也会安全吗?
如果您设置 secure
标志,cookie 将只发送到 HTTPS 端点。如果您需要将 cookie 发送到非安全端点,您不应使用此标志,但您可能应该修改您的设计,因为通过非加密通道发送身份验证 cookie 被认为是不好的做法。
请记住,实际上保护 cookie 中任何内容的并不是 secure
标志。正是 SSL 加密确保中间人无法解密流量的价值。安全标志仅确保浏览器将通过 SSL 传输 cookie。
知道我的网站只有 HTTPS 并且我添加了 cookie.SecureFlag = true 。我也想为 HTTP 打开它,所以我被迫将 SecureFlag 删除到 cookie 中,因为它无法处理它。您能否告诉我通过 HTTPS (SSL) 发送的 cookie 是否需要安全标志?没有它也会安全吗?
如果您设置 secure
标志,cookie 将只发送到 HTTPS 端点。如果您需要将 cookie 发送到非安全端点,您不应使用此标志,但您可能应该修改您的设计,因为通过非加密通道发送身份验证 cookie 被认为是不好的做法。
请记住,实际上保护 cookie 中任何内容的并不是 secure
标志。正是 SSL 加密确保中间人无法解密流量的价值。安全标志仅确保浏览器将通过 SSL 传输 cookie。