如果我的网站有HSTS /强制https(即用户无法访问该网站的http版本),那么为{cookie}设置<div class="question" *ngFor let question of questions">
<div class="card">
<div class="card-header">
{{ question.text }}
</div>
<div class="card-block">
<p class="card-text">{{ question.answer }}</p>
</div>
</div>
</div>
是否有任何意义?
答案 0 :(得分:1)
当然,有一点。如果没有secure: true,浏览器会将这些Cookie以及任何未加密的HTTP请求发送到您的域,无论您的域是否侦听请求或响应它。
您可能不希望您的用户在访问您的网站并收到Cookie后处理HSTS并发出非HTTPS请求,但他们可能出于各种原因(包括但不限于试图劫持他们的会话的攻击者操纵他们这样做。