【发布时间】:2018-12-19 20:42:29
【问题描述】:
在 http 请求上保护 cookie 会发生什么。它会因请求而丢失吗?如果 cookie 是安全的身份验证 cookie,会发生什么?
【问题讨论】:
标签: cookies https http-headers insecure-connection
【发布时间】:2018-12-19 20:42:29
【问题描述】:
RFC 6265 形式化了 HTTP cookie 的行为(因为它们在现实世界中工作,而不是理想情况下应该工作,不像以前失败的 RFC):
- 简介
本文档定义了 HTTP Cookie 和 Set-Cookie 标头字段。
behavior of the "secure" flag的描述如下:
4.1.2.5。安全属性
安全属性将 cookie 的范围限制为“安全”
通道(其中“安全”由用户代理定义)。当一个
cookie 具有 Secure 属性,用户代理将包含
仅当请求通过 a
传输时,HTTP 请求中的 cookie 安全通道(通常是 HTTP over Transport Layer Security (TLS)
[RFC2818])。
实际上,只有通过 TLS(即 HTTP/S)的连接才被认为是安全的。 浏览器可以定义直接 HTTP 连接到主机“localhost”或定义为“本地”的 IP 地址"(该 IP 堆栈的地址),如 127.0.0.1 或 ::1,或其他本地地址,作为安全的。这将符合规范的精神。 (我不知道实际上这样做的浏览器。)
【讨论】: