HTTPS連接中的Cookie是否安全?HTTPS連接中的Cookie是否安全?
14
A
回答
17
它傳輸到服務器和從服務器加密,因此它與TLS一樣安全。
您還可以通過在「Set-cookie」響應標頭中添加「HttpOnly」標誌,將cookie標記爲僅用於客戶端 - >服務器通信,並阻止來自客戶端Javascript的訪問。
編輯 —和@Bruno建議,您也可以使用「安全」標誌(在相同的標題)告訴該cookie只能在HTTPS請求被髮送回服務器的瀏覽器。作爲@ D.W。在一個較新的評論中指出,這可能相當重要,因爲你幾乎肯定不希望你的重要安全cookie可能在不安全的交互中傳輸(比如,在從網站的非安全公共部分登錄之前)。如果全部是與特定cookie域的交互都是HTTPS,那麼這可能不是必需的,但它是如此簡單的事情,沒有理由不這樣做。
編輯 —更新,時間長了以後:使用secure
標誌:)
6
在連接中,是的。但它仍然保存在未加密的客戶機上。
6
Cookies是HTTP頭內發送。因此,它們與HTTPS連接一樣安全,HTTPS連接依賴於許多SSL/TLS參數,如密碼強度或公鑰長度。
請注意,除非您爲您的Cookie設置了Secure
標誌,否則Cookie可以通過不安全的HTTP連接進行傳輸。中間人攻擊使用這種不安全的Cookie來竊取會話信息。因此,除非您有充分的理由不要,否則當您希望它們只通過HTTPS傳輸時,請始終爲Cookies設置安全標誌。
相關問題
- 1. 此HTTPS連接是否安全?
- 2. 使安全的HTTPS連接
- 3. API - 連接是否安全?
- 4. 沒有有效的SSL證書,HTTPS連接是否安全?
- 5. 使用SSON cookie與HTTPS安全WCF連接
- 6. HTTPS URL是否安全?
- 7. 通過安全連接發佈非安全cookie會導致僞安全cookie
- 8. https安全Cookie是否可防止XSS攻擊?
- 9. https://www.example.com不安全,但https://example.com是否安全?
- 10. 如何請求安全連接(https)?
- 11. 流星ddp連接安全和https
- 12. websocket連接建立後是否安全?
- 13. 通過HTTPS安全cookie的感覺
- 14. HSTS vs只有https和安全cookie
- 15. HTTPS - iPhone到API - URL是否安全?
- 16. NSURLCredential是否通過https保護安全?
- 17. POST是否像Cookie一樣安全?
- 18. Erlang是否通過cookie足夠安全?
- 19. 3G是安全連接嗎?
- 20. 通過HTTPS連接的cookie傳遞
- 21. 如何檢索https連接上的cookie?
- 22. 在安全連接(HTTPS)中使用SignalR的「longpoling」連接時的安全警報。 IE8
- 23. 將`null`連接到PHP中的字符串是否安全?
- 24. 安全連接
- 25. 力的Rails的cookie發送任何類型的連接(安全/不安全)
- 26. https和幀。連接是否加密?
- 27. 在web.config中編寫連接字符串是否安全?
- 28. CookieAuthentication中間件提供的cookie是否安全?
- 29. 緩存Cookie中的角色是否安全?
- 30. 只是想確認這個請求是否100%安全連接
不,不會自動。使用https://github.com/delight-im/PHP-Cookie或類似的本地函數,使用'$ cookie-> setSecureOnly(true);'它將*安全地防止在不安全的HTTP上劫持* $ cookie-> setHttpOnly(true);'它將*安全地防止通過頁面中的XSS漏洞劫持*等等。因此,爲了判斷cookie是否「安全」,您需要首先定義威脅模型。通過簡單的HTTP或XSS進行Cookie竊取是您通常應該關心的事情。 – caw 2016-07-13 00:22:07