34
對SO的評論並沒有明確地回答這個問題。這可能是暗示的,但我想明確地記錄在記錄上。SSL也可以加密cookie嗎?
如果SSL處於活動狀態,它將加密HTTP頭數據,如「set-cookie」?我知道「setSecure」僅在HTTPS處於活動狀態時才傳輸cookie,但如果SSL處於活動狀態,我想確認是否所有標頭數據在默認情況下均已加密,而無需使用「setSecure」。
A
回答
44
通過SSL(HTTPS)發送的數據已完全加密,包含標頭(因此爲cookie),只有您發送請求的主機未加密。這也意味着GET請求被加密(URL的其餘部分)。
儘管攻擊者可能會強制客戶端通過HTTP進行響應,因此強烈建議您在Cookie中使用「安全」標誌,該標誌強制使用HTTPS發送Cookie。
此外,使用標誌HTTPOnly將大大提高您網站的安全性,因爲它不允許使用Javascript代碼讀取Cookie(緩解潛在的XSS漏洞)。
5
SSL加密整個HTTP會話,包括標頭。
這就是爲什麼他們將TLS重命名爲「傳輸層安全性」。 「傳輸層」位於網絡堆棧中的「應用層」(等等)之下。
所以是的。
相關問題
- 1. SSL也會加密AJAX帖子嗎?
- 2. 我可以在joomla cookie中加密密碼嗎
- 3. 可以SSL加密,並在Java
- 4. 可以加密整數嗎?
- 5. 爲什麼不同的密鑰也可以解密JCE加密
- 6. 每種加密算法都可以加密ASCII密鑰嗎?
- 7. Magento可以禁用Cookie嗎?
- 8. jQuery可以讀取cookie嗎?
- 9. 可以保護cookie嗎?
- 10. Cookie加密/解密
- 11. 單向SSL是單向加密嗎?
- 12. django set_cookie方法加密cookie值嗎?
- 13. SSL加密
- 14. openssl ssl加密
- 15. SSL和加密
- 16. 可以加密碼被盜嗎?
- 17. 可以通過IIS上的HTTP進行身份驗證加密(無SSL)嗎?
- 18. Codeigniter Cookie加密
- 19. Cookie加密
- 20. 即使只有密碼部分正確,也可以登錄嗎?
- 21. SSL證書加密與密碼加密
- 22. 生成並提交csr後,我可以刪除ssl密鑰上的密碼嗎?
- 23. GET數據是否也以HTTPS加密?
- 24. SQL Server SSL加密
- 25. 如果我使用SSL,是否需要簽名/加密Cookie?
- 26. 的McAfee掃描帶有加密SSL Cookie錯誤
- 27. SSL數據和加密cookie的漏洞點是什麼?
- 28. Cookie加密奇怪
- 29. PHP magento cookie加密
- 30. 加密和在cookie
您對面向協議的攻擊提出了一些要點。最好保留「setSecure(true)」來保護會話信息免受協議切換。 +1 – giulio 2011-06-01 10:40:49