使用https时应该加密cookie内容吗?

时间:2009-06-15 16:18:52

标签: cookies https

我正在尝试在https下在ASP.NET中编写一个cookie,但我在客户机中看到一个纯文本cookie。默认情况下,cookie不应在https连接下加密吗?

4 个答案:

答案 0 :(得分:10)

简短回答是否定的,在SSL下的ASP.NET中没有加密cookie。 SSL是一种传输级协议,仅加密客户端和服务器之间的通信。 Cookie和查询字符串值不由SSL加密。一旦cookie在客户端机器上,它就会以任何离开服务器的格式保留。

答案 1 :(得分:8)

您的Cookie只会在Cookie传输到浏览器或从浏览器传输时加密。如果您希望在浏览器的cookie存储区中加密cookie,则需要先在服务器上对其进行加密,然后在服务器端脚本中使用时在服务器上进行解密。

SSL / TLS只是一种传输安全机制,用于加密线路上的请求/响应,由浏览器提供一种机制将cookie安全地存储在客户端上(或者如上所述,您的应用程序可以执行此操作)

答案 2 :(得分:1)

不,AFAIK只对传输进行加密,客户端的cookie不是。您应该自己加密它以获得更好的安全性。

答案 3 :(得分:0)

它应该在线上加密,然后由浏览器解密。