我的应用程序使用SSL(https)。如果用户使用http尝试访问URL,则webserver(weblogic)会自动重定向到https。 如果安全标志为true,则将使用https访问站点上传递的cookie。
将安全标志添加为true是有道理的,因为我的网站不接受http请求并在内部将其重定向到https?
根据我的理解,我是否添加安全标志是真的没有任何区别,因为即使我访问该网站与http cookie不被传递。 仅当我的网络服务器重定向到https时才会通过。所以即使没有添加此配置,我也看不到任何漏洞。 这是对的吗?
答案 0 :(得分:1)
如果您的用户通过HTTPS访问,获取Cookie,然后通过HTTP错误地访问,该怎么办? cookie将从浏览器发送到服务器,服务器将重定向,然后一切都将再次安全......但明确的传输?这就是为什么你想把它们标记为安全的原因。