安全 cookie 标志阻止通过 HTTP 发送 cookie。 HTTPOnly 标志阻止 JavaScript 访问 cookie。
仅 HTTPS 站点始终使用安全和 HTTPOnly cookie 是否是一个现实的准则?混合 HTTPS 和 HTTP 站点呢?有什么缺点?
显然,如果您需要 HTTPS 和 HTTP 页面上的 cookie,以及 JavaScript 访问才能让您的网站正常工作,您就不能使用这些标志,但设计良好的网站是否需要这样做?
最佳答案
Is it a realistic guideline that HTTPS only sites always use Secure and HTTPOnly cookies?
是的。
What about mixed HTTPS and HTTP sites?
不要创建混合的 HTTPS/HTTP 站点。只是……不要。
CPU 不再如此昂贵,以至于在任何地方使用 HTTPS 都是一项严重的开销。搜索引擎将 HTTPS-only 视为一个积极的排名指标。
What are the disadvantages?
没有。
如果您确实需要从纯 HTTP 或 JS 访问 cookie,则可以关闭该设置。这就是指南的意义所在,您可以在有充分理由的情况下打破它们。在这种情况下很少见。
关于javascript - 为什么不总是使用 HTTPOnly 和 Secure cookie 标志?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33803034/