对SO的审查并未明确回答这个问题。可以暗示,但我想特别记录下来。
如果SSL处于活动状态,它会加密HTTP标头数据,例如“set-cookie”?我知道“setSecure”仅在HTTPS处于活动状态时传输cookie,但如果SSL处于活动状态,我想确认所有头数据是否在默认情况下都是加密的,而无需使用“setSecure”。
答案 0 :(得分:56)
通过SSL(HTTPS)发送的数据是完全加密的,包括标头(因此是cookie),只有您发送请求的主机未加密。这也意味着GET请求已加密(URL的其余部分)。
虽然攻击者可以强制客户端通过HTTP进行响应,但强烈建议您使用Cookie中的“安全”标志,强制使用HTTPS发送Cookie。
此外,使用HTTPOnly标志将极大地增强您网站的安全性,因为它不允许使用Javascript代码读取Cookie(减少潜在的XSS漏洞)。
答案 1 :(得分:8)
SSL加密整个HTTP会话,包括标头。
这就是为什么他们将其重命名为“传输层安全性”的TLS。 “传输层”位于网络堆栈中的“应用层”(以及其他)之下。
是的。