假设客户端和服务器之间的所有通信都是通过 SSL 进行的,并且在 cookie 上设置了“requireSSL=true”。
问问题
196 次
2 回答
1
HTTPS 是基于 TLS/SSL 的 HTTP,它在交换任何 HTTP 消息之前建立 SSL/TLS 连接。
如果双方配置正确并且客户端验证证书,SSL/TLS 隧道将保护 HTTP 流量免受 MITM 攻击和窃听。
这应该可以防止浏览器和服务器之间的任何一方看到该 cookie。此外,如果这是一个安全 cookie(带有secure标志,可能配置为requireSSL=true),浏览器应该只在 HTTPS 请求时将其发回(如果您的站点同时使用 HTTP 和 HTTPS)。(也可以httpOnly在您的 cookie 上设置以防止涉及脚本的攻击。)
于 2012-09-13T14:07:49.840 回答
0
理论上不会,只能通过以下方式被盗:
- 浏览器中的错误
- 中间人攻击
- 弱密码算法
于 2012-09-13T14:10:02.633 回答