安全cookie标志阻止通过HTTP发送cookie。 HTTPOnly标志阻止JavaScript访问cookie。
仅HTTPS网站始终使用Secure和HTTPOnly Cookie是否真实?混合HTTPS和HTTP站点怎么样?有什么缺点?
显然,如果您在HTTPS和HTTP页面上都需要cookie,以及您的网站的JavaScript访问权限,那么您就无法使用这些标志,但设计良好的网站是否需要这样做?
答案 0 :(得分:3)
仅HTTPS网站始终使用Secure和HTTPOnly Cookie是否真实?
是
混合的HTTPS和HTTP站点怎么样?
不要创建混合的HTTPS / HTTP站点。只是......不要。
CPU不再那么昂贵,以至于在任何地方使用HTTPS都是一个严重的开销。搜索引擎仅将HTTPS视为积极的排名指标。
有哪些缺点?
没有。
如果你真的需要从普通HTTP或JS访问cookie,那么你可以关闭设置。这是指导方针,你可以在有充分理由的时候打破它们。在这种情况下很少见。
答案 1 :(得分:0)
信息安全堆栈交换站点上有一个类似的question。乔纳森(Jonathan)的答案包括以下内容:“对于仅HTTP,您可能希望javascript与cookie进行交互。也许您跟踪cookie中的页面状态,使用JS写入cookie,然后从JS中读取。”换句话说,如果您想在跨使用Cookie的会话中维护用户的UI首选项,HTTPOnly可能会造成干扰。