Cookie 在 HTTPS 连接中是否安全?

2022-08-31 00:42:15

Cookie 在 HTTPS 连接中是否安全?


答案 1

它与加密的服务器之间传输,因此它与TLS一样安全。

您还可以通过在“Set-cookie”响应标头中添加“HttpOnly”标志,将 cookie 标记为仅用于客户端>服务器通信,并阻止来自客户端 Javascript 的访问。

edit - 正如@Bruno所建议的那样,您还可以使用“安全”标志(在同一标头中)告诉浏览器cookie应该只在https请求中发送回服务器。正如@D.W.在较新的评论中指出的那样,这可能非常重要,因为您几乎肯定不希望您的重要安全cookie可能在不安全的交互中传输(例如,在从网站的非安全公共部分登录之前)。如果与特定cookie域的所有交互都是HTTPS,那么这可能没有必要,但这是一件简单的事情,没有理由不这样做。

编辑 — 更新,很长一段时间后:使用标志:)secure


答案 2

Cookie 在 HTTP 标头中发送。因此,它们与HTTPS连接一样安全,HTTPS连接取决于许多SSL / TLS参数,如密码强度或公钥的长度。

请记住,除非您为 Cookie 设置了标志,否则 Cookie 可以通过不安全的 HTTP 连接进行传输。有些中间人攻击使用这种不安全的Cookie来窃取会话信息。因此,除非您有充分的理由不这样做,否则当您希望 Cookie 仅通过 HTTPS 传输时,请始终为 Cookie 设置安全标志。Secure


推荐