可以使用 HTTPS 读取使用 HTTP 设置的 cookies 吗?
最佳答案
使用“安全”关键字设置的 Cookie 仅在通过安全方式 (HTTPS) 连接时由浏览器发送。除此之外没有区别——如果没有“secure”,则 cookie 可能会通过不安全的连接发送。
换句话说,您想要保护其内容的 cookie 应该使用 secure 关键字,并且您应该只在用户通过 HTTPS 连接时将它们从服务器发送到浏览器。
- HTTP:带有“安全” 的 Cookie 将仅在 HTTPS 连接上返回(无意义的操作,请参阅下面的注释)
- HTTPS:带有“安全” 的 Cookie 将仅在 HTTPS 连接时返回
- HTTP: 没有“安全” 的 Cookie 将在 HTTP 或 HTTPS 连接上返回
- HTTPS:没有“安全” 的 Cookie 将在 HTTP 或 HTTPS 连接上返回(可能会泄露安全信息信息)
引用:RFC 2109 见4.2.2(第4页)、4.3.1
注意:在 Firefox 和 Chrome 实现 Strict Secure Cookies specification 后,不再可能在不安全(例如 HTTP)来源上设置“安全”cookie。 .
关于http - 通过使用 HTTP 设置的 HTTPS 读取 cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2163828/