我知道 cookie 与secure
标志不会通过未加密的连接发送。我想知道这是如何深入运作的。
谁负责决定是否发送cookie?
客户端仅为加密连接设置此项,这在中定义RFC 6265:
Secure 属性将 cookie 的范围限制为“安全”通道(其中“安全”由用户代理定义)。当 cookie 具有安全属性时,仅当请求通过安全通道(通常是基于传输层安全性 (TLS) 的 HTTP [RFC2818])传输时,用户代理才会在 HTTP 请求中包含 cookie。
尽管安全属性看似对于保护 cookie 免受主动网络攻击者有用,但它仅保护 cookie 的机密性。活跃的网络攻击者可以从不安全的通道覆盖安全cookie,破坏其完整性(更多详细信息请参阅第8.6节)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)