问题描述
|
对SO的评论并不能完全回答这个问题。这可能暗示,但我想特别记录下来。
如果SSL处于活动状态,它将加密HTTP标头数据,例如\“ set-cookie \”?我知道\“ setSecure \”仅在HTTPS处于活动状态时才传输cookie,但是,如果SSL处于活动状态,我想确认是否默认情况下所有头数据都已加密而无需使用\“ setSecure \”。
解决方法
通过SSL(HTTPS)发送的数据已完全加密,包括标头(因此包含cookie),仅将请求发送到的主机未加密。这也意味着GET请求已加密(URL的其余部分)。
尽管攻击者可以迫使客户端通过HTTP进行响应,但是强烈建议您在cookie中使用\“ Secure \”标志,这将强制使用HTTPS发送cookie。
另外,使用标志HTTPOnly将极大地增强您网站的安全性,因为它不允许使用Javascript代码读取Cookies(从而减轻了潜在的XSS漏洞)。
, SSL会加密整个HTTP会话,包括标头。
这就是为什么他们为““传输层安全性””将其重命名为TLS的原因。 \“传输层\”位于网络堆栈中\“应用层\”(以及其他)的下方。
是的