Как работает флаг cookie "Безопасный"?

Question

Как работает флаг cookie "Безопасный"?

Я знаю, что печенье с secure флаг не будет отправлен через незашифрованное соединение. Интересно, как это работает в глубине.

кто отвечает за определение того, будет ли отправлен файл cookie или нет?

564 2

http cookies session-cookies

2 ответов:

Comments

Ничего не найдено.

Cratylus · Accepted Answer · 2014-04-18 15:13:34

клиент устанавливает это только для зашифрованных соединений, и это определено в RFC 6265:

атрибут Secure ограничивает область действия файла cookie "защищенными" каналами (где "secure" определяется агентом пользователя). Если файл cookie имеет атрибут Secure, агент пользователя будет включать файл cookie в HTTP-запрос только в том случае, если запрос передается по защищенному каналу (обычно HTTP через Transport Layer Security (TLS) [RFC2818]).

несмотря на кажущуюся полезность для защиты файлов cookie от активных сетевых злоумышленников, атрибут Secure защищает только конфиденциальность файлов cookie. Активный сетевой злоумышленник может перезаписать защищенные файлы cookie с небезопасного канала, нарушая их целостность (см. раздел 8.6 для получения более подробной информации).

Alain Tiemblo · Accepted Answer · 2018-03-13 22:46:34

просто еще одно слово на эту тему:

опущение secure потому что ваш сайт example.com полностью https недостаточно.

если ваш пользователь явно достигает http://example.com, они будут перенаправлены на https://example.com но это уже слишком поздно; первый запрос содержит файл cookie.