在HTTPS连接中cookie是否安全?
答案 0 :(得分:17)
它与服务器进行加密传输,因此它与TLS一样安全。
您还可以将Cookie标记为仅用于客户端 - >服务器通信,并通过在“Set-cookie”响应标头中添加“HttpOnly”标志来阻止从客户端Javascript访问。
编辑 - 正如@Bruno建议的那样,你也可以使用“安全”标志(在同一个标题中)告诉浏览器cookie应该只通过https发送回服务器要求。作为@ D.W。在一个较新的评论中指出,这可能非常重要,因为您几乎肯定不希望您的重要安全cookie可能在不安全的交互中传输(例如,在从站点的非安全公共部分登录之前)。如果 all 与特定cookie域的交互是HTTPS,那么这可能没有必要,但这是一件非常简单的事情,没有理由不这样做。
编辑 - 很久以后更新:使用secure标志:)
答案 1 :(得分:6)
在这方面,是的。但它仍未加密存储在客户端的机器上。
答案 2 :(得分:6)
Cookie在HTTP标头中发送。因此,它们与HTTPS连接一样安全,这取决于许多SSL / TLS参数,如密码强度或公钥长度。
请注意,除非您为Cookie设置Secure标记,否则Cookie可以通过不安全的HTTP连接传输。有一些中间人攻击使用这种不安全的Cookie来窃取会话信息。因此,除非您有充分的理由不这样做,否则请始终为Cookie设置Secure标记,只需要通过HTTPS传输它们。