在 http 请求上保护 cookie 会发生什么。它会因请求而丢失吗?如果 cookie 是安全的 auth cookie,会发生什么?
问问题
242 次
1 回答
2
RFC 6265规范了 HTTP cookie 的行为(因为它们在现实世界中工作,而不是理想情况下应该工作,不像以前失败的 RFC):
- 介绍
本文档定义了 HTTP Cookie 和 Set-Cookie 标头字段。
“安全”标志的行为描述如下:
4.1.2.5。安全属性
Secure 属性将 cookie 的范围限制为“安全”
通道(其中“安全”由用户代理定义)。当
cookie 具有 Secure 属性时,只有当请求通过 安全通道(通常是 HTTP over Transport Layer Security (TLS) [RFC2818])传输时,用户代理才会
在 HTTP 请求中包含 cookie 。
实际上,只有通过 TLS(即 HTTP/S)的连接才被认为是安全的。可以想象,浏览器可以将直接 HTTP 连接定义为安全的主机“localhost”或定义为“本地”(该 IP 堆栈的地址)的 IP 地址,如 127.0.0.1 或 ::1,或其他本地地址。这将符合规范的精神。(我不知道实际上这样做的浏览器。)
于 2018-07-11T22:45:29.207 回答