cookie 在 HTTPS 连接中安全吗?
最佳答案
它与服务器加密传输,因此与 TLS 一样安全。
您还可以将 cookie 标记为仅用于客户端-> 服务器通信,并通过在“Set-cookie”响应 header 中添加“HttpOnly”标记来阻止来自客户端 Javascript 的访问。
edit — 正如@Bruno 所建议的,您还可以使用“安全”标志(在同一 header 中)告诉浏览器该 cookie 只应在 https 中发送回服务器要求。作为@D.W.在较新的评论中指出,这可能非常重要,因为您几乎肯定不希望您的重要安全 cookie 可能在不安全的交互中传输(例如,在从站点的非安全公共(public)部分登录之前)。如果所有与特定 cookie 域的交互都是 HTTPS,那么这可能没有必要,但这是一件非常简单的事情,没有理由不这样做。
edit — 更新,很久以后:使用 secure 标志 :)
关于php - cookie 在 HTTPS 连接中是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4015746/