Wiem, że plik cookie z secureflagą nie zostanie wysłany niezaszyfrowanym połączeniem. Zastanawiam się, jak to działa dogłębnie.
Kto jest odpowiedzialny za określenie, czy plik cookie zostanie wysłany, czy nie?
Wiem, że plik cookie z secureflagą nie zostanie wysłany niezaszyfrowanym połączeniem. Zastanawiam się, jak to działa dogłębnie.
Kto jest odpowiedzialny za określenie, czy plik cookie zostanie wysłany, czy nie?
Odpowiedzi:
Klient ustawia to tylko dla połączeń szyfrowanych i jest to zdefiniowane w RFC 6265 :
Atrybut Secure ogranicza zakres pliku cookie do „bezpiecznych” kanałów (gdzie „bezpieczny” jest definiowany przez klienta użytkownika). Gdy plik cookie ma atrybut Secure, agent użytkownika umieści plik cookie w żądaniu HTTP tylko wtedy, gdy żądanie jest przesyłane przez bezpieczny kanał (zwykle HTTP over Transport Layer Security (TLS) [RFC2818]).
Chociaż pozornie przydatny do ochrony plików cookie przed aktywnymi atakami sieciowymi, atrybut Secure chroni tylko poufność pliku cookie. Aktywny napastnik sieciowy może nadpisać Bezpieczne pliki cookie z niezabezpieczonego kanału, zakłócając ich integralność (więcej informacji znajduje się w sekcji 8.6).
Jeszcze tylko słowo na ten temat:
Pomijanie, secureponieważ Twoja witryna example.comjest w pełni https, nie wystarczy.
Jeśli twój użytkownik wyraźnie dociera do niego http://example.com, zostanie przekierowany, https://example.comale to już za późno; pierwsze żądanie zawierało plik cookie.
secure?