安全 cookie 仅通过 HTTPS 协议通过加密请求发送到服务器。即使使用 Secure,也不应将敏感信息存储在 cookie 中,因为它们本质上是不安全的,并且此标志无法提供真正的保护。
HTTPS 请求的请求正文和所有标头都使用 TLS 加密,包括 Set-Cookie: 响应标头和 Cookie: 请求标头。这应该可以防止第三方读取或篡改 cookie 值。
那么为什么 cookie “本质上是不安全的”?(也许 Mozilla 认为有权访问用户计算机的人能够检查他们的 cookie?)
【问题讨论】:
标签: http security cookies https
为什么 cookie “固有地 不安全”?
cookie最大的问题是:它存储在用户的电脑中,导致了很多可能性。一旦将 cookie 发送给客户端,服务器就会失去对 cookie 隐私的控制。由于 cookie 数据存储在用户的计算机中,因此在以下情况下可能会泄露数据:
对于secure标志,如果您将secure cookie中的敏感信息发送到浏览器,仍然存在安全问题:
httpOnly标志,所有恶意脚本都可以读取该cookie,并将信息发送到任何服务器。domain 设置不正确,您可能会将敏感cookie 泄漏到某些接口。例如,如果secure cookie 的domain 是/,那么所有后端 API 都会收到敏感数据,这可能不是您想要的。【讨论】:
Secure 指令不足以使 cookie 变得“安全”,但并不是说它不能变得安全。