57
A
回答
51
此只对加密的连接和该客户端套在RFC 6265定义:
所述安全属性限制cookie来“安全”信道的范围(其中,“安全”是由用户代理定义)。当cookie具有安全属性时,仅当请求通过安全通道(通常是基于传输层安全性(TLS)的HTTP [RFC2818])传输时,用户代理才会将cookie包含在HTTP请求中。
尽管看起来对于保护来自活动网络攻击者的cookie非常有用,但Secure属性仅保护cookie的机密性。主动网络攻击者可以覆盖来自不安全通道的安全cookie,破坏其完整性(详见8.6节)。
22
就关于这个问题的另一个词:
省略secure,因为你的网站example.com完全HTTPS是不够的。
如果您的用户明确地到达http://example.com,他将被重定向到https://example.com,但已经太晚了,第一个请求包含cookie。
相关问题
- 1. MVC中ASPXAUTH Cookie的安全标志
- 2. 使用javascript的Cookie安全标志
- 3. 安全Cookie在ASP.NET中不添加安全标志
- 4. 如何使用mod_header删除会话cookie的安全标志?
- 5. 如何在cookie中设置安全标志在asp.net web api
- 6. 安全Cookie不工作在PHP
- 7. NX标志如何工作?
- 8. 如何编辑安全cookie?
- 9. 如何将不安全的cookie转换为安全的cookie
- 10. 安全和的HttpOnly标志的会话cookie的Websphere 7
- 11. 使用NGINX在响应cookie上添加安全和httpOnly标志
- 12. 在IE11中设置Cookie的安全标志(客户端)
- 13. PHP - 检查cookie是否设置了安全标志
- 14. cookie不与HTTPS“安全”标志设置 - JavaScript的
- 15. 安全Cookie ASP.NET
- 16. Cookie安全
- 17. HTML Cookie安全
- 18. asp.net安全cookie
- 19. PHP Cookie安全
- 20. PhoneGap中的Cookie标题:拒绝设置不安全标题“Cookie”
- 21. 如何清除Cookie上的HttpOnly标志?
- 22. 如何禁用cookie时设置标志
- 23. 如何设置Cookie HTTPOnly标志?
- 24. 标志如何在C中工作?
- 25. Symfony2的安全@Secure标注不工作
- 26. 如何使机架会话cookie安全?
- 27. 如何使用JavaScript读取安全Cookie
- 28. CurveZMQ安全性如何工作?
- 29. 目前kubernetes的安全工作如何?
- 30. osgi安全模型如何工作?
如果客户端还没有cookie,并且它们应该从服务器端发送(例如登录),服务器端是否可以决定是否包含cookie? – ted
服务器最初通过“Set-Cookie headers”设置cookie – Ivan