secure暗号化されていない接続を介してフラグ付きの Cookie が送信されないことはわかっています。これがどのように深く機能するのだろうか。
クッキーが送信されるかどうかを決定する責任は誰にありますか?
質問する
103901 次
2 に答える
96
クライアントはこれを暗号化された接続に対してのみ設定します。これはRFC 6265で定義されています。
Secure 属性は、Cookie の範囲を「安全な」チャネルに制限します (「安全」はユーザー エージェントによって定義されます)。Cookie に Secure 属性がある場合、ユーザー エージェントは、HTTP 要求が安全なチャネル (通常は HTTP over Transport Layer Security (TLS) [RFC2818]) を介して送信される場合にのみ、Cookie を含めます。
Secure 属性は、アクティブなネットワーク攻撃者から Cookie を保護するのに役立つように見えますが、Cookie の機密性のみを保護します。アクティブなネットワーク攻撃者は、安全でないチャネルから安全な Cookie を上書きし、それらの整合性を混乱させる可能性があります (詳細については、セクション 8.6 を参照してください)。
于 2012-12-05T18:43:12.570 に答える