如何在http请求上保护cookie。是否会因请求而丢失?如果Cookie是安全的身份验证Cookie,会发生什么情况?
答案 0 :(得分:2)
RFC 6265规范了HTTP cookie的行为(因为它们在现实世界中正常工作,而不是在理想情况下不能正常工作,这与某些先前失败的RFC不同):
简介
该文档定义了HTTP Cookie和Set-Cookie标头字段。
behavior of the "secure" flag的说明如下:
4.1.2.5。安全属性
Secure属性将Cookie的范围限制为“安全”
渠道(其中“安全”由用户代理定义)。当
Cookie具有安全属性,用户代理将包含
HTTP请求中的Cookie只能通过以下方式发送:
安全通道(通常是基于传输层安全性(TLS)的HTTP
[RFC2818]。
在实践中,只有通过TLS(即HTTP / S)的连接才被认为是安全的。可以想象,浏览器可以定义到主机“ localhost”或IP地址的直接HTTP连接,即定义为“本地” “(该IP堆栈的地址),例如127.0.0.1或:: 1,或其他本地地址,以确保安全。这将符合规范的精神。 (我不知道实际上是这样做的浏览器。)