【发布时间】:2011-09-05 21:54:02
【问题描述】:
对 SO 的评论并没有明确回答这个问题。这可能是暗示的,但我想把它记录在案。
如果 SSL 处于活动状态,它将加密 HTTP 标头数据,例如“set-cookie”?我知道“setSecure”仅在 HTTPS 处于活动状态时传输 cookie,但如果 SSL 处于活动状态,我想确认所有标头数据是否默认加密而无需使用“setSecure”。
【问题讨论】:
标签: servlets ssl http-headers
【发布时间】:2011-09-05 21:54:02
【问题描述】:
通过 SSL (HTTPS) 发送的数据已完全加密,包括标头(因此是 cookie),只有您发送请求的主机未加密。这也意味着 GET 请求是加密的(URL 的其余部分)。
虽然攻击者可以强制客户端通过 HTTP 响应,但强烈建议在 cookie 中使用“安全”标志,强制使用 HTTPS 发送 cookie。
此外,使用标志 HTTPOnly 将大大增强您网站的安全性,因为它不允许使用 Javascript 代码读取 Cookie(缓解潜在的 XSS 漏洞)。
【讨论】:
-
您对面向协议的攻击提出了一些要点。最好保留“setSecure(true)”以保护会话信息免受协议切换。 +1
-
那么它遵循什么样的加密方式?
SSL 加密整个 HTTP 会话,包括标头。
这就是他们将其重命名为“传输层安全性”的 TLS 的原因。 “传输层”位于网络堆栈中的“应用层”(以及其他)下方。
是的。
【讨论】: