HTTPS 连接中的 cookie 安全吗?
【问题讨论】:
$cookie->setSecureOnly(true); 将在不安全的HTTP 上防止劫持,使用$cookie->setHttpOnly(true); 将防止劫持通过您页面中的 XSS 漏洞等。所以为了判断一个cookie是否“安全”,首先需要定义威胁模型。通过普通 HTTP 或 XSS 窃取 Cookie 是您通常应该关心的。
它与服务器之间的传输是加密的,因此它与 TLS 一样安全。
您还可以通过在“Set-cookie”响应标头中添加“HttpOnly”标志来将 cookie 标记为仅用于客户端->服务器通信,并阻止来自客户端 Javascript 的访问。
edit — 正如@Bruno 建议的那样,您还可以使用“安全”标志(在同一个标头中)告诉浏览器 cookie 应该只在 https 中发送回服务器要求。作为@D.W.在较新的评论中指出,这可能非常重要,因为您几乎肯定不希望您的重要安全 cookie 可能在不安全的交互中传输(例如,在从站点的非安全公共部分登录之前)。如果所有与特定 cookie 域的交互都是 HTTPS,那么这可能没有必要,但它是如此简单,没有理由不这样做。
edit — 更新,很久以后:使用 secure 标志:)
【讨论】:
Cookie 在 HTTP 标头中发送。因此,它们与 HTTPS 连接一样安全,HTTPS 连接取决于许多 SSL/TLS 参数,例如密码强度或公钥长度。
请记住,除非您为 Cookie 设置 Secure 标志,否则 Cookie 可以通过不安全的 HTTP 连接传输。存在使用此类不安全 Cookie 窃取会话信息的中间人攻击。因此,除非您有充分的理由不这样做,否则当您希望它们仅通过 HTTPS 传输时,请始终为 Cookie 设置安全标志。
【讨论】:
在连接中,是的。但它仍然未加密地存储在客户端的机器上。
【讨论】: