是否应通过HTTPS发送非安全cookie?

时间:2014-03-14 13:50:55

标签: cookies

我正在编写代码以确定是否应该针对给定网址的请求设置给定的Cookie,并且我正在考虑secure attribute

我了解标记为安全的Cookie必须通过HTTPS发送,不得通过HTTP发送。

我不清楚是否可以通过HTTPS发送未明确标记为安全的Cookie。

未标记为安全的Cookie是否应通过HTTPS发送?

或者,换句话说,你能完成下表吗?

Secure attribute value | Request URL scheme | Allow cookie to be set?
=====================================================================
 true                  | HTTPS              | Yes
 true                  | HTTP               | No
 false (or not set)    | HTTPS              | ?
 false (or not set)    | HTTP               | Yes

1 个答案:

答案 0 :(得分:1)

非安全Cookie可以通过HTTPS发送。安全标志只是指示浏览器不通过HTTP发送它们的一种方式。他们不必尊重这一点,尽管我认为所有主流浏览器都可以。

他们很乐意通过HTTP发送一个非安全的cookie。

相关问题
最新问题