Cookie 在 HTTPS 连接中是否安全？

它与加密的服务器之间传输，因此它与TLS一样安全。

您还可以通过在“Set-cookie”响应标头中添加“HttpOnly”标志，将 cookie 标记为仅用于客户端>服务器通信，并阻止来自客户端 Javascript 的访问。

edit - 正如@Bruno所建议的那样，您还可以使用“安全”标志（在同一标头中）告诉浏览器cookie应该只在https请求中发送回服务器。正如@D.W.在较新的评论中指出的那样，这可能非常重要，因为您几乎肯定不希望您的重要安全cookie可能在不安全的交互中传输（例如，在从网站的非安全公共部分登录之前）。如果与特定cookie域的所有交互都是HTTPS，那么这可能没有必要，但这是一件简单的事情，没有理由不这样做。

编辑 — 更新，很长一段时间后：使用标志:)secure

Cookie 在 HTTP 标头中发送。因此，它们与HTTPS连接一样安全，HTTPS连接取决于许多SSL / TLS参数，如密码强度或公钥的长度。

请记住，除非您为 Cookie 设置了标志，否则 Cookie 可以通过不安全的 HTTP 连接进行传输。有些中间人攻击使用这种不安全的Cookie来窃取会话信息。因此，除非您有充分的理由不这样做，否则当您希望 Cookie 仅通过 HTTPS 传输时，请始终为 Cookie 设置安全标志。Secure