加密HTTPS的cookie(安全cookie)是否有任何意义? 据我所知,在HTTPS中,整个请求都是加密的,那么我们是否需要对cookie进行额外加密?
答案 0 :(得分:3)
这完全取决于您的安全模型。您仍然需要加密Cookie的一些原因:
您是否关心应用程序的用户是否获得了cookie的内容?换句话说,你在那里存储任何内部的东西,不应该向用户透露吗?
您是否关心用户是否篡改了Cookie的内容?加密可以是一种获取完整性保护的方法,具体取决于您的操作方式。 (当然,还有其他方式。)
披露cookie的后果是什么?如果它是一个不记名令牌,它是否加密不会产生很大的不同,但如果它包含有价值的数据,加密它可以防止攻击者以某种方式访问浏览器存储的cookie(无论是通过网络)攻击或攻击托管浏览器的实际系统)。你仍然可能在其他方面输给攻击者,但它可以提供一些深度防御。
如果您需要,加密cookie的主要功能是保护您免受接收cookie的用户(或可以访问该用户数据的攻击者)。