我是否认为如果您通过SSL加密请求传递会话cookie,该cookie只能由直接访问已发送cookie的计算机的攻击者或其拥有的服务器读取已发送,只要他们无法破解加密?
答案 0 :(得分:10)
SSL加密所有流量,包括标头(包含cookie值)。
另一方面,可以通过客户端计算机上的Javascript访问cookie,除非您已将其标记为HttpOnly。黑客可能会通过XSS攻击来运行此脚本。
此外,还有一些方法可以通过精心设计的电子邮件或网页来劫持cookie。这被称为会话骑行或CSRF。
最后,对于SSL终止点之外的任何网络连接,cookie都可以在线路上看到,例如,如果您的数据中心使用SSL卸载和/或深度数据包检查。
哦,还有一件事。如果未正确配置SSL,则很容易受到MITM攻击,例如:您的服务器配置为接受空协议。在这种情况下,黑客当然可以在白天读取cookie。
我认为就是这样。这应该足以让你夜不能寐。
答案 1 :(得分:3)
要添加@John Wu的答案,您还可以通过设置MITM来防范其他类型的Secure Flag攻击。这将确保cookie仅在通过HTTPS加密发送请求时由浏览器传输。
尽管cookie只能由您的网站设置,但如果输出的话仍应编码以防范XSS。有关详细信息,请参阅我的其他答案:https://security.stackexchange.com/a/44976/8340
答案 2 :(得分:2)
正确,SSL加密线路上的所有HTTP。