程序员经验分享-hwhale

cookie“安全”标志如何工作?

2023-11-29

我知道 cookie 与secure标志不会通过未加密的连接发送。我想知道这是如何深入运作的。

谁负责决定是否发送cookie?


客户端仅为加密连接设置此项,这在中定义RFC 6265:

Secure 属性将 cookie 的范围限制为“安全”通道(其中“安全”由用户代理定义)。当 cookie 具有安全属性时,仅当请求通过安全通道(通常是基于传输层安全性 (TLS) 的 HTTP [RFC2818])传输时,用户代理才会在 HTTP 请求中包含 cookie。

尽管安全属性看似对于保护 cookie 免受主动网络攻击者有用,但它仅保护 cookie 的机密性。活跃的网络攻击者可以从不安全的通道覆盖安全cookie,破坏其完整性(更多详细信息请参阅第8.6节)。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

http

cookies

sessioncookies

cookie“安全”标志如何工作? 的相关文章

  • REST URL 结构建议

    我正在尝试为我正在开发的网站的愿望清单部分敲定一个宁静的网址结构 这是一个非常简单的模型 用户可以有许多愿望清单 每个愿望清单可以包含许多产品 目前我有明显的 CRUD URL 来操作愿望清单本身 GET account wishlists

  • 从express.js 中删除所有标头

    我正在创建一个页面 其中有一些数据可以由另一个设备解析 我曾经使用 php 执行此操作 但现在将其移至 Node js 我需要从页面中删除所有标题 这样我就只有我的输出 此输出是对 GET 请求的响应 此刻我有 HTTP 1 1 200 O

  • HttpGet 401 状态代码后跟 200 状态代码

    我使用 Apachage HttpComponent 访问 Web 服务时遇到奇怪的行为 我可以访问服务器日志 当我尝试连接到服务器并执行 httpGet 命令时 我可以在日志中首先看到 401 状态 http 未经授权 然后看到 200

  • 在 C# 中编码 cookie 值的安全方法

    使用 C 在 cookie 中存储值时 对值进行编码 或转义 以便可以可靠地检索和解码 未转义该值的最佳方法是什么 我不是在谈论加密 嗯 最安全的做法是使用 UrlEncoding 使用 HttpServerUtility UrlEncod

  • 我首次设置 AWS EB 时创建的默认安全组是什么?

    我对几个组所扮演的角色感到困惑 这些组似乎已自动添加到我的 AWS 安全组列表中 并以我收集的默认配置进行连接 并且想知道它们是如何工作的 以及它们的安全性如何 改变 具体来说 有三个神秘之处 launch wizard 1其中有一条入站规

  • 身份验证中的随机数使用

    在基于摘要的身份验证中 随机数由服务器生成 然而 在基于 OAuth 的身份验证中 随机数是由客户端生成的 我想知道是否有人知道差异的原因 随机数用于使请求唯一 在没有随机数的身份验证方案中 恶意客户端可以生成一次请求并重放多次 即使计算成

  • 在 Safari 上,通过重定向发送时不会保存 cookie

    我已经实现了一个 OAuth2 客户端 其中第一步是将用户发送到相关的第 3 方 本例中为 facebook 我为他们设置了一个状态 cookie 当他们从 facebook 返回时 我验证该状态 cookie 在 Chrome 中 一切都

  • HTTP请求压缩

    一般用例 想象一下一个正在上传大量 JSON 的客户端 内容类型应保留application json因为这描述了实际数据 Accept Encoding 和 Transfer Encoding 似乎是为了告诉服务器应该如何格式化响应 看起

  • 设计不能很好地处理 RoR3 应用程序上的多个子域

    我看到了很多关于这个主题的问题 但其中很多都有相互矛盾的信息 并且由于某种原因它对我不起作用 I have 顶级域名 即 lvh me 开发 每个用户都有子域 即 userdomain lvh me 登录表单位于顶级域 lvh me I w

  • Google Chrome 不设置从 NodeJS/Express 服务器发送的 cookie

    我正在尝试在我的后端 带有express session的Express Node Mongo 中设置经过身份验证的端点 并且可以在响应标头中向客户端 Chrome版本53 0 2785 143 发送cookie 但是当我在开发控制台下 应

  • 由于请求的资源上不存在“Access-Control-Allow-Origin”标头,无法获取与 Axios 的链接请求

    我正在尝试使用 cryptocompare api 来获取 axios 的 coindata 列表 但我不知道如何解决这个问题 我相信这是一个 CORS 问题 但我不确定 完整错误如下 加载失败https www cryptocompare

  • gwt rpc 中的会话 ID cookie

    假设我正在滚动自己的会话代码 那么在 java 中生成唯一且安全的会话 id cookie 的正确方法是什么 我不应该自己推出而是使用已经标准化的东西吗 我正在使用 gwt 和 google app engine 平台 如何使会话在浏览器

  • 安全 Cookie?

    我正在慢慢地将我的 未发布的 CMS 从 SESSION to COOKIE 互联网上的内容似乎更偏向于 SESSION 我认为是因为易于使用 我正在寻找有关保存 cookie 的安全提示 目前 我正在以以下格式存储 有点类似于 WordP

  • 在golang中获取TTFB(第一个字节的时间)值

    我正在尝试获取 TTFB 值和 Connect 值 c exec Command curl w Connect time connect TTFB time starttransfer Total time time total o dev

  • iOS 中如何清除特定域的 cookie?

    我已经搜索了 StackOverflow 上的几乎所有问题来寻找我的问题的答案 我还没有找到任何有用的链接或教程来说明哪种方式最好清除特定域的 cookie 如果有人可以帮助我 请 我自己找到了解决方案 如果您想删除 UIWebView 中

  • 当会话令牌无效时,我应该使用什么状态代码?

    创建 Web 服务 RESTful 时 当会话令牌无效时我应该使用什么状态代码 目前我公司的人给我发了一个404 未找到 但我认为这是不正确的 因为资源存在 也许我应该使用 401 Unauthorized 你怎么认为 您建议我在这种情况下

  • 有没有办法使用 ASP.NET 在用户离开页面时始终运行某些服务器端代码?

    我想知道当用户离开 ASP NET 中的页面时是否有任何方法可以始终运行一些服务器端代码 页面卸载事件不好 因为如果有人单击链接 则不会调用该事件 理想情况下 即使用户关闭浏览器 我也希望代码能够运行 我怀疑我所问的问题是不可能的 但问一下

  • 使用 Http Post 发送图像

    我想使用 Http Post 将图像从 android 客户端发送到 Django 服务器 该图像是从图库中选择的 目前 我正在使用列表值名称 Pairs 将必要的数据发送到服务器并接收来自 Django 的 JSON 响应 是否可以对图像

  • 如何使用 Ruby on Rails 3 检查 HTTP 请求的“Content-Length”字段?

    我正在使用 Ruby on Rails 3 在我的视图文件中我有以下代码 为了避免服务器过载 我会在服务器接收上传文件之前检查上传文件的大小 这是因为 按下表单的提交按钮 服务器会先完整接收文件 然后再检查文件 我知道一个HTTP 请求有标

  • 浏览器显示 clojure 环中不存在 access-control-allow-origin 标头

    我通过客户端浏览器向服务器发出请求 如下所示https example com bar https example com bar 但出现错误 Access to XMLHttpRequest at https example com ba

随机推荐

  • Django 通过电子邮件发送错误

    我一直在努力让电子邮件在 Django 中工作以进行日志记录以及 500 和 404 错误 但我一生都无法让它工作 我有DEBUG False以及所有其他设置 我的电子邮件设置如下 EMAIL HOST host EMAIL PORT 58

  • Objective-C 生成位于给定 cgrect 中的随机点

    我的要求是在给定区域生成一个随机点 即我有一个具有一定空间的 Cg 矩形 我需要在这个矩形中生成一个随机点 在这种情况下我该如何进行 CGPoint randomPointInRect CGRect r CGPoint p r origin

  • 在 Struts 2 中使用 getText() 获取属性

    我正在使用 JSP 开发 Struts2 框架 In my samplePrj properties文件 其中 com samplePrj Successmessage Saved Successful 是一个属性 我需要在我的 JSP 页

  • (在 Ubuntu 服务器上使用“imgkit”)wkhtmltopdf:无法连接到任何 X 显示器

    我有一个在远程 Ubuntu 服务器上运行的 python 脚本 在我的代码中的某个时刻 我创建了一个 HTML 文件 然后将其转换为 png 因此 我选择使用 imgkit 它能很好地完成这项工作 在将 python 脚本上传到远程 Ub

  • 如何获取已安装应用程序的大小?

    我正在尝试计算已安装应用程序的大小 我找到了答案here 我在一些设备上测试过 除了三星Galaxy Note3 4 3 之外 没有任何问题 我收到此错误 java lang NoSuchMethodException getPackage

  • 如何保护Android应用程序免遭盗窃和修改应用程序本身?

    这里有一篇关于最近在 Android 市场上发生的骗局的精彩报道 http www theregister co uk 2011 12 12 android market malware 有人从 root 手机上复制了一些流行的游戏 apk

  • git rebase:重新调整的提交仍在索引中吗?

    当我读到git 变基 我明白重新定位的提交应该丢失 我说应该是因为我注意到 知道重新调整的提交 sha 我可以回忆起来 假设我有以下三个提交 A gt B gt C where C的啥是cshaid 然后 如果我交互地变基fixing up

  • .loadby sos clr - 找不到指定的模块

    我试图弄清楚转储文件中的 CLR 异常是什么 但在尝试执行时遇到问题 0 000 gt loadby sos clr The call to LoadLibrary C ProgramData dbg sym clr dll 5348A1E

  • iOS4 实现 -[NSURLConnection sendAsynchronousRequest:queue:completionHandler:]?

    我该如何实施 NSURLConnection sendAsynchronousRequest queue completionHandler 对于 iOS if IPHONE OS VERSION MIN REQUIRED lt IPHON

  • 在 C++ 中检查文件是否存在

    目前我使用类似的东西 include

  • 如何传递凭据以在 Gitlab CI 脚本中提取子模块?

    我有几个项目 每个项目都有自己的存储库 它们导入一个公共库 该库也有自己的存储库 所以 gitmodules文件包含全名的库 Submodule xx yy https gitlab com xx yy git registered for

  • 对猫鼬中的嵌套数组进行排序

    我有一个包含数组或音乐的 PlaylistShema 在这一系列音乐中我有一个ObjectId 参考音乐收藏 addedAt and a title 播放列表Shema var PlaylistSchema new Schema title

  • 在多线程应用程序中使用 OpenSSL

    我一直在 Ubuntu 上用 C 编写 SOAP 客户端应用程序 使用 OpenSSL 进行 HTTPS 传输 使用 pthreads 进行线程处理 我有许多线程 一个中央数据获取线程定期获取工作线程以通过共享互斥保护队列发出 SOAP 请

  • Click() 函数在量角器脚本中不起作用

    我正在尝试使用 Protractor 和 Appium 对 iPad 模拟器中带有 jasmine 框架的 AngularJS 网站进行自动化测试 sendkeys 函数适用于用户名和密码 但是当我单击登录按钮时 测试通过了 但操作未完成

  • ASP Classic - 将 base64 二进制字符串转换为字节数组

    我正在尝试将 base64binary 字符串转换为经典 ASP 中的字节数组 ASP 中不存在 StrConv 我的目标是获取从 Web 服务调用接收到的 base64binary 字符串 并将二进制格式写入文件 thanks m 前段时

  • 一起使用 TableCellRenderer 和 getColumnClass

    当我将 getcolumn 类添加到我的 Abstracttablemodel 时 我无法使用自定义 TableCellRenderer 来设置背景颜色 我用它来排序 对齐数字列 public Class getColumnClass in

  • NodeJS 中的基本静态文件服务器

    我试图在 Node js 中创建一个静态文件服务器 更多的是作为理解 Node 的练习 而不是作为一个完美的服务器 我很了解 Connect 和 node static 等项目 并完全打算使用这些库来编写更多可用于生产的代码 但我也喜欢了解

  • 可以创建插图吗?

    我知道当你使用par fig c new T 您可以创建插图 但是 我想知道是否可以使用 ggplot2 库来创建 插图 图 更新1 我尝试使用par 用ggplot2 但它不起作用 更新2 我找到了一个可行的解决方案ggplot2 谷歌群

  • 在 iFrame 内的新窗口中打开链接

    我正在寻找创建类似于 Digg Stumbleupon 栏的东西 它固定在新打开的页面的顶部 在我的应用程序中 我显示了一堆指向外部站点的链接 不 当有人单击其中一个时 我希望它们在新选项卡中打开 我的徽标 栏位于页面顶部 我认为这可以使用

  • cookie“安全”标志如何工作?

    我知道 cookie 与secure标志不会通过未加密的连接发送 我想知道这是如何深入运作的 谁负责决定是否发送cookie 客户端仅为加密连接设置此项 这在中定义RFC 6265 Secure 属性将 cookie 的范围限制为 安全 通

热门标签