Cookie是否可以在HTTPS中生成,如果Cookie的安全参数设置为false,则可以在HTTP中使用?我有一个网站,我只需要一个页面在HTTPS,例如登录或可能是一个特殊的功能页面。
我认为这个cookie将是(安全的,因为它是用SSL转移的)虽然在非SSL页面上作为非散列发送回来,可以安全地假设吗?
答案 0 :(得分:5)
简而言之:是的。
在SSL安全响应上设置cookie,但忽略secure标志,将使cookie与通过非SSL连接传输的行为没有区别。
答案 1 :(得分:4)
Cookie可以在HTTP或HTTPS上使用,除非它被标记为安全。如果标记为安全,则浏览器仅在当前请求使用HTTPS时才会发送。
如果您当前的请求是HTTP,那么cookie将“明确地”发送,并且可能被中间人或某人嗅探流量截获。谷歌“火上浇油”就是为什么这可能是坏事的一个例子。