在查看提及的HTTP State Management Mechanism Spec具体4.1.2.5之后:
Secure属性将cookie的范围限制为“安全” 通道(其中“安全”由用户代理定义)。当一个 cookie具有Secure属性,用户代理将包含 仅当请求通过a传输时,HTTP请求中的cookie 安全通道(通常是HTTP over Transport Layer Security(TLS)
)
我想知道我的设置是否正确设置了此设置。我有一个hapijs服务器和一个后面的nginx代理服务器。 nginx服务器配置为HTTPS(无论如何我可以通过https:// ...访问它)。现在有办法向hapijs服务器提供证书以提供TLS。我的问题是:这有必要吗?用户的浏览器和我的服务器之间的连接受到TLS保护,然后所有通信都发生而不通过网络发送任何东西,所以我认为它没关系。
我可能会离开这里,所以也许有人可以指出我正确的方向,如果我。
答案 0 :(得分:1)
Cookie的“安全”属性由客户端(网络浏览器)处理,而不是由任何代理服务器处理(至少我知道!)。
因此,只要浏览器连接的端点是安全的,您就应该没问题。
这是一种非常常见的设置,只能在终点保护流量 - 让您对端点和最终目的地之间的链接(例如同一台机器或内部网络)的安全性感到满意。
当然,内部网络流量可以被现场某人(例如员工)嗅探,因此从安全角度来看,所有https都是最好的,但是使用从端点到最终目的地的http不应该阻止“安全”cookie的存在根据我的经验发送。
如果使用外部网络作为第一台服务器(例如CDN),那么强烈建议一直使用https到安全端点,但不会再停止它们。