http - 安全 : true on cookie for forced https

标签 http ssl cookies https session-cookies

如果我的网站有 HSTS/强制 https(即用户将无法访问网站的 http 版本),为 cookie 设置 secure: true 是否有意义?

最佳答案

绝对有道理。如果没有 secure: true,无论您的域是否监听或响应请求,浏览器都会将这些 cookie 连同任何未加密的 HTTP 请求一起发送到您的域。

您可能不希望您的用户在访问您的网站并收到 cookie 后绕过 HSTS 并发出非 HTTPS 请求,但他们可能出于各种原因无论如何都会这样做,包括但不限于攻击者试图劫持他们的 session ,操纵他们这样做。

关于http - 安全 : true on cookie for forced https,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49345052/

上一篇:angular - IE Edge - 访问控制允许 header 列表中不存在请求 header 授权

下一篇:javascript - 如何从 .t​​hen() 以 Angular 返回对函数的响应?

相关文章:

javascript - 将 JQuery-UI 可排序连接列表自定义配置保存到本地 Cookie

c - 在 Arduino 中解析 XML 数据

java - Chrome : A html space is replacing %20 to %2520

c++ - 如何读取一个http请求(一个http代理服务器)

cookies - PassportJS - 如何制作单独的passport.session

php - php 中的安全 session /cookie

python - gevent 有基本的 http 处理程序吗?

ssl - 不确定如何通过 SSL 修复不安全的内容

ssl - "bq"命令行工具抛出 CERTIFICATE_VERIFY_FAILED

c# - XmlDocument.Load : Could not create SSL/TLS secure channel

©2024 IT工具网  联系我们