如果我们尝试设置之前安全的 cookie，浏览器会忽略 Set-Cookie 响应标头

Question

我发现了一个奇怪的问题，不知道需要应用什么解决方法。

最简单的安全改进之一是将所有 cookie 设置为 HttpOnly 和 Secure。我知道，如果您以非安全模式（即方案是 HTTP）打开带有安全 cookie 的网站，那么 cookie 将被忽略。 但我们的情况如下。

假设有一个 URL 可以让您登录：contoso.com/AutoLogin/

如果我在 HTTPS 模式下打开它，则设置了 AUTH cookie 并且它是安全的：

GET https://contoso.com/AutoLogin/<user token>
Response: Set-Cookie: .ASPXAUTH=<cookie is here>; expires=Fri, 11-Oct-2019 14:51:40 GMT; path=/; secure; HttpOnly

那绝对没问题。我可以在开发工具中看到 cookie。 现在，相同的浏览器会话，我试图打开相同的 URL，但在 HTTP 模式下。请求 Cookie 不再具有 AUTH cookie - 由于安全 cookie 的性质，这一点很清楚并且可以预测。

GET http://contoso.com/AutoLogin/<user token>
Response: .ASPXAUTH=<here comes the cookie>; expires=Fri, 11-Oct-2019 14:54:07 GMT; path=/; HttpOnly

• 这次没有安全标志 - 好的。

但是，cookie 没有设置，所有后续请求都没有 AUTH cookie。 至少在 Chrome 和 Firefox 中确认了该行为（未在其他浏览器中检查）。

您可能注意到后端是使用 ASP.NET MVC 实现的。 也许，GET 请求是 AJAX 请求这一事实可能会有所帮助。

感谢您的帮助。

Answer 1

我发现我 perfect article 关于这个问题。简而言之：

当网站通过 http（端口 80）和 https（端口 443）提供请求并且具有 https cookie 的安全标志时，就会发生这种情况。

如果用户首先访问 https，则站点设置安全 cookie。然后，对于任何非安全脚本的请求，服务器不会收到会话 cookie，因为请求是通过非 https 连接传播的。如果端点有会话机制，它会启动新的会话，该会话通过标头发送但不存储在浏览器中（因为浏览器已经有了这个名称的 cookie - 它只是不发送它）

不同浏览器行为的作者状态 - 有些浏览器允许通过不安全的 cookie 覆盖安全 cookie，有些则不允许。

Chrome 71 和 Firefox 64 都防止安全 cookie 在纯 http 上被覆盖。我测试了 Edge 42，但它的工作方式不同，它会用非安全 cookie 覆盖安全 cookie。 Safari 12 的工作方式与 Edge 类似。

我想唯一的解决方案是仅以一种所需的方式使用网站 - 是否安全。