Wiem, że plik cookie z secure
flagą nie zostanie wysłany niezaszyfrowanym połączeniem. Zastanawiam się, jak to działa dogłębnie.
Kto jest odpowiedzialny za określenie, czy plik cookie zostanie wysłany, czy nie?
źródło
Wiem, że plik cookie z secure
flagą nie zostanie wysłany niezaszyfrowanym połączeniem. Zastanawiam się, jak to działa dogłębnie.
Kto jest odpowiedzialny za określenie, czy plik cookie zostanie wysłany, czy nie?
Klient ustawia to tylko dla połączeń szyfrowanych i jest to zdefiniowane w RFC 6265 :
Atrybut Secure ogranicza zakres pliku cookie do „bezpiecznych” kanałów (gdzie „bezpieczny” jest definiowany przez klienta użytkownika). Gdy plik cookie ma atrybut Secure, agent użytkownika umieści plik cookie w żądaniu HTTP tylko wtedy, gdy żądanie jest przesyłane przez bezpieczny kanał (zwykle HTTP over Transport Layer Security (TLS) [RFC2818]).
Chociaż pozornie przydatny do ochrony plików cookie przed aktywnymi atakami sieciowymi, atrybut Secure chroni tylko poufność pliku cookie. Aktywny napastnik sieciowy może nadpisać Bezpieczne pliki cookie z niezabezpieczonego kanału, zakłócając ich integralność (więcej informacji znajduje się w sekcji 8.6).
Jeszcze tylko słowo na ten temat:
Pomijanie,
secure
ponieważ Twoja witrynaexample.com
jest w pełni https, nie wystarczy.Jeśli twój użytkownik wyraźnie dociera do niego
http://example.com
, zostanie przekierowany,https://example.com
ale to już za późno; pierwsze żądanie zawierało plik cookie.źródło
secure
?