Tôi biết rằng cookie có cờ secure sẽ không được gửi qua kết nối không được mã hóa. Tôi tự hỏi làm thế nào điều này hoạt động sâu.Cờ "An toàn" trên cookie hoạt động như thế nào?
Ai chịu trách nhiệm xác định xem cookie có được gửi hay không?
Các bộ khách hàng này chỉ cho các kết nối được mã hóa và điều này được quy định tại RFC 6265:
Thuộc tính an toàn giới hạn phạm vi của cookie để "an toàn" các kênh truyền hình (nơi "an toàn" được định nghĩa bởi các tác nhân người dùng). Khi cookie có thuộc tính Secure, tác nhân người dùng sẽ chỉ bao gồm cookie trong yêu cầu HTTP nếu yêu cầu được truyền qua kênh bảo mật (thường là HTTP qua Bảo mật lớp truyền tải (TLS) [RFC2818]).
Mặc dù có vẻ hữu ích để bảo vệ cookie khỏi những kẻ tấn công mạng đang hoạt động, thuộc tính Bảo mật chỉ bảo vệ tính bảo mật của cookie. Kẻ tấn công mạng hoạt động có thể ghi đè lên các cookie Bảo mật từ một kênh không an toàn, làm gián đoạn tính toàn vẹn của chúng (xem Mục 8.6 để biết thêm chi tiết).
Chỉ cần một từ khác về đề tài này:
Bỏ secure vì trang web của bạn là hoàn toàn example.com https là không đủ.
Nếu người dùng của bạn đang truy cập rõ ràng http://example.com, anh ấy sẽ được chuyển hướng đến https://example.com nhưng đã quá muộn rồi, yêu cầu đầu tiên chứa cookie.
Tôi biết điều này là cũ, nhưng tính năng tải trước HSTS giúp tình trạng này bằng cách ngăn sự cố này xảy ra thường xuyên. Nó vẫn không sửa chữa 100% nhưng nó chỉ là một điều khác để xem xét nếu bạn thực sự muốn tránh cookie an toàn. –
@ Mr.MonoChrome Tại sao bạn muốn tránh cookie an toàn? – MEMark
@ Mr.MonoChrome mặc dù một số trình duyệt cũ hơn hoặc thấp hơn, tôi tin rằng, thậm chí không hỗ trợ HSTS – Anthony
trong trường hợp phía máy khách không có cookie và chúng sẽ được gửi từ phía máy chủ (ví dụ: đăng nhập), phía máy chủ có phải là bên quyết định đưa cookie vào phản hồi không? – ted
Máy chủ ban đầu đặt cookie qua "Tiêu đề thiết lập cookie" – Ivan