如果cookie的安全参数设置为false,是否可以在HTTPS
中制作cookie并在HTTP
中使用?我有一个网站,我只需要一个单一的页面是在HTTPS
,如登录或可能是一个特殊的功能页面。
我假设cookie将是(安全的,因为它是用SSL传输的),尽管在非SSL页面上作为非散列发送回来,假设是安全的吗?
总之:是的。
在SSL安全响应上设置cookie,但不使用secure
标志,将使cookie的行为与通过非SSL连接传输时没有什么不同。
cookie可以在HTTP或HTTPS上使用,除非它被标记为安全。如果标记为安全,浏览器只会在当前请求是HTTPS的情况下发送它。
如果您当前的请求是HTTP,那么cookie将被"清除"发送,并且可能被中间人或嗅探流量的人拦截。你可以在谷歌上搜索"firesheep",看看为什么这很糟糕。