57
A
回答
51
此只對加密的連接和該客戶端套在RFC 6265定義:
所述安全屬性限制cookie來「安全」信道的範圍(其中,「安全」是由用戶代理定義)。當cookie具有安全屬性時,僅當請求通過安全通道(通常是基於傳輸層安全性(TLS)的HTTP [RFC2818])傳輸時,用戶代理纔會將cookie包含在HTTP請求中。
儘管看起來對於保護來自活動網絡攻擊者的cookie非常有用,但Secure屬性僅保護cookie的機密性。主動網絡攻擊者可以覆蓋來自不安全通道的安全cookie,破壞其完整性(詳見8.6節)。
22
就關於這個問題的另一個詞:
省略secure,因爲你的網站example.com完全HTTPS是不夠的。
如果您的用戶明確地到達http://example.com,他將被重定向到https://example.com,但已經太晚了,第一個請求包含cookie。
相關問題
- 1. MVC中ASPXAUTH Cookie的安全標誌
- 2. 使用javascript的Cookie安全標誌
- 3. 安全Cookie在ASP.NET中不添加安全標誌
- 4. 如何在cookie中設置安全標誌在asp.net web api
- 5. 如何使用mod_header刪除會話cookie的安全標誌?
- 6. 安全Cookie不工作在PHP
- 7. NX標誌如何工作?
- 8. 如何將不安全的cookie轉換爲安全的cookie
- 9. 安全和的HttpOnly標誌的會話cookie的Websphere 7
- 10. PHP - 檢查cookie是否設置了安全標誌
- 11. cookie不與HTTPS「安全」標誌設置 - JavaScript的
- 12. 在IE11中設置Cookie的安全標誌(客戶端)
- 13. 使用NGINX在響應cookie上添加安全和httpOnly標誌
- 14. Cookie安全
- 15. asp.net安全cookie
- 16. PHP Cookie安全
- 17. HTML Cookie安全
- 18. 安全Cookie ASP.NET
- 19. PhoneGap中的Cookie標題:拒絕設置不安全標題「Cookie」
- 20. 如何設置Cookie HTTPOnly標誌?
- 21. 如何清除Cookie上的HttpOnly標誌?
- 22. 如何禁用cookie時設置標誌
- 23. 拒絕設置不安全標題「Cookie」
- 24. I/O流標誌如何工作?
- 25. 標誌如何在C中工作?
- 26. Symfony2的安全@Secure標註不工作
- 27. 如何使用JavaScript讀取安全Cookie
- 28. 如何使機架會話cookie安全?
- 29. 子域Cookie安全
- 30. ASP.NET webform cookie安全
如果客戶端還沒有cookie,並且它們應該從服務器端發送(例如登錄),服務器端是否可以決定是否包含cookie? – ted
服務器最初通過「Set-Cookie headers」設置cookie – Ivan