如果我的网站有 HSTS/强制 https(即用户将无法访问网站的 http 版本),为 cookie 设置 secure: true
是否有意义?
最佳答案
绝对有道理。如果没有 secure: true
,无论您的域是否监听或响应请求,浏览器都会将这些 cookie 连同任何未加密的 HTTP 请求一起发送到您的域。
您可能不希望您的用户在访问您的网站并收到 cookie 后绕过 HSTS 并发出非 HTTPS 请求,但他们可能出于各种原因无论如何都会这样做,包括但不限于攻击者试图劫持他们的 session ,操纵他们这样做。
关于http - 安全 : true on cookie for forced https,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49345052/