我登录并向浏览器发送安全 cookie。现在在 http 页面上,如果我提出请求,它可以发送安全 cookie 吗?
Posted
技术标签:
【中文标题】我登录并向浏览器发送安全 cookie。现在在 http 页面上,如果我提出请求,它可以发送安全 cookie 吗?【英文标题】:I login and send a secure cookie to browser. Now on http page if I make a request can it send the secure cookie accross? 【发布时间】:2016-06-24 23:44:24 【问题描述】:浏览器是否通过 http 连接发送安全 cookie。我有一个网站,其中有些页面是 https,有些是 http。我在 http 页面上创建了一个安全的 cookie。现在,如果我移动到 http 页面并刷新 http 页面,cookie 会被发送到服务器吗?
【问题讨论】:
【参考方案1】:具有安全属性的 Cookie 仅与 https 请求/网页一起发送。
但是警告:如果您混合使用 http 和 https 网页,没有什么能阻止攻击者在您的 http 网页上显示虚假登录页面。避免这种情况的唯一安全方法是始终使用 https 并激活 HSTS。
【讨论】:
【参考方案2】:我想知道如果您在 http 调用上使用安全属性,您的页面将如何加载,因为 cookie 将仅发送到 https 调用。参考:https://www.owasp.org/index.php/SecureFlag
【讨论】:
以上是关于我登录并向浏览器发送安全 cookie。现在在 http 页面上,如果我提出请求,它可以发送安全 cookie 吗?的主要内容,如果未能解决你的问题,请参考以下文章