为什么不总是使用HTTPOnly和Secure cookie标志?

时间:2015-11-19 11:45:46

标签: javascript security cookies https xss

安全cookie标志阻止通过HTTP发送cookie。 HTTPOnly标志阻止JavaScript访问cookie。

仅HTTPS网站始终使用Secure和HTTPOnly Cookie是否真实?混合HTTPS和HTTP站点怎么样?有什么缺点?

显然,如果您在HTTPS和HTTP页面上都需要cookie,以及您的网站的JavaScript访问权限,那么您就无法使用这些标志,但设计良好的网站是否需要这样做?

2 个答案:

答案 0 :(得分:3)

  

仅HTTPS网站始终使用Secure和HTTPOnly Cookie是否真实?

  

混合的HTTPS和HTTP站点怎么样?

不要创建混合的HTTPS / HTTP站点。只是......不要。

CPU不再那么昂贵,以至于在任何地方使用HTTPS都是一个严重的开销。搜索引擎仅将HTTPS视为积极的排名指标。

  

有哪些缺点?

没有。

如果你真的需要从普通HTTP或JS访问cookie,那么你可以关闭设置。这是指导方针,你可以在有充分理由的时候打破它们。在这种情况下很少见。

答案 1 :(得分:0)

信息安全堆栈交换站点上有一个类似的question。乔纳森(Jonathan)的答案包括以下内容:“对于仅HTTP,您可能希望javascript与cookie进行交互。也许您跟踪cookie中的页面状态,使用JS写入cookie,然后从JS中读取。”换句话说,如果您想在跨使用Cookie的会话中维护用户的UI首选项,HTTPOnly可能会造成干扰。