是否应将安全cookie发送到具有无效证书的HTTPS服务器?我的意思是,我有一个HTTPS服务器提供的应用程序,它在登录步骤后发送一个带有安全标志的cookie。如果证书无效,我的服务器是否应该收回cookie?这是否正常化(似乎不是),有人能指出我的标准的相关部分吗?
答案 0 :(得分:4)
证书是否有效实际上并不重要。如果在浏览站点时检测到无效证书,大多数浏览器会告诉用户证书无效,并让用户确定是否要继续。
关于cookie的“安全”部分,所有这一切都告诉浏览器该cookie仅对https连接有效,不应通过常规http连接传输。
这意味着是的,您的服务器应该从浏览器接收cookie,前提是所访问的URL是https网址。即使服务器的证书无效。
答案 1 :(得分:4)
是的,cookie with Secure flag set is only sent for TLS/SSL secured connections:
如果cookie的secure-only-flag为true,则request-uri的方案必须表示“安全”协议(由用户代理定义)。 [...]通常,如果协议使用传输层安全性(例如SSL或TLS),则用户代理会认为协议是安全的。例如,大多数用户代理将“https”视为表示安全协议的方案。
但是要建立TLS / SSL连接,只关注证书是否可信。证书如何被信任并不重要,i。即是自动还是手动信任。
答案 2 :(得分:0)
还有RFC 2965中的这一陈述已被RFC 6265废弃:
用户代理(可能与用户交互)可以确定什么 它认为适合的安全级别"安全"饼干。 Secure属性应该被视为来自的安全建议 服务器到用户代理,表明它在会话中 保护cookie内容的兴趣。 当它发送"安全" cookie回到服务器,用户代理应该使用不少于 与收到cookie时使用的安全级别相同 来自服务器。