Ich weiß, dass ein Cookie mit secure
Flag nicht über eine unverschlüsselte Verbindung gesendet wird. Ich frage mich, wie das im Detail funktioniert.
Wer bestimmt, ob der Cookie gesendet wird oder nicht?
Ich weiß, dass ein Cookie mit secure
Flag nicht über eine unverschlüsselte Verbindung gesendet wird. Ich frage mich, wie das im Detail funktioniert.
Wer bestimmt, ob der Cookie gesendet wird oder nicht?
Der Client legt dies nur für verschlüsselte Verbindungen fest und dies ist in RFC 6265 definiert :
Das Secure-Attribut beschränkt den Umfang des Cookies auf "sichere" Kanäle (wobei "sicher" vom Benutzeragenten definiert wird). Wenn ein Cookie das Attribut "Sicher" hat, nimmt der Benutzeragent das Cookie nur dann in eine HTTP-Anforderung auf, wenn die Anforderung über einen sicheren Kanal übertragen wird (normalerweise HTTP über TLS (Transport Layer Security) [RFC2818]).
Obwohl das Attribut "Sicher" zum Schutz von Cookies vor aktiven Netzwerkangreifern nützlich erscheint, schützt es nur die Vertraulichkeit des Cookies. Ein aktiver Netzwerkangreifer kann sichere Cookies von einem unsicheren Kanal überschreiben und so deren Integrität beeinträchtigen (weitere Informationen finden Sie in Abschnitt 8.6).
Nur ein weiteres Wort zu diesem Thema:
Auslassen,
secure
weil Ihre Websiteexample.com
vollständig https ist, reicht nicht aus.Wenn Ihr Benutzer explizit erreicht
http://example.com
, wird er weitergeleitet,https://example.com
aber das ist bereits zu spät. Die erste Anfrage enthielt den Cookie.quelle
secure
?