Secure ba ang cookies sa https?
Secure ba ang cookies sa https?

Video: Secure ba ang cookies sa https?

Video: Secure ba ang cookies sa https?
Video: What Are Cookies? And How They Work | Explained for Beginners! 2024, Mayo
Anonim

Mga cookies ay ipinadala sa loob ng header ng HTTP. Kaya sila ay bilang ligtas bilang ang HTTPS koneksyon na nakasalalay sa maraming mga parameter ng SSL/TLS tulad ng lakas ng cipher o haba ng pampublikong key. Mangyaring tandaan na maliban kung itinakda mo ang Secure bandila para sa iyong Cookie , ang Cookie maaaring maipadala sa isang hindi secure na koneksyon sa

Ang dapat ding malaman ay, naka-encrypt ba ang cookies sa

Ipinadala ang data sa pamamagitan ng SSL ( HTTPS ) ay ganap naka-encrypt , kasama ang mga header (kaya cookies ), tanging ang Host na pinadalhan mo ng kahilingan ay hindi naka-encrypt . Nangangahulugan din ito na ang kahilingan ng GET ay naka-encrypt (ang natitirang bahagi ng URL).

Higit pa rito, maaari bang basahin ng JavaScript ang mga secure na cookies? Ang buong punto ng HttpOnly cookies sila ba yun pwede hindi ma-access ng JavaScript . Ang tanging paraan (maliban sa pagsasamantala sa mga bug sa browser) para sa iyong script basahin ang mga ito ay upang magkaroon ng isang cooperating script sa server na magbabasa ang cookie halaga at i-echo ito pabalik bilang bahagi ng nilalaman ng tugon.

Maaari ring magtanong, ligtas ba ang cookies?

Secure na cookies ay isang uri ng HTTP cookie na mayroon Secure set ng attribute, na naglilimita sa saklaw ng cookie sa " ligtas "mga channel (kung saan" ligtas " ay tinukoy ng ahente ng gumagamit, karaniwang web browser). Maaaring mag-overwrite ang isang aktibong umaatake sa network Secure na cookies mula sa isang hindi secure na channel, na nakakagambala sa kanilang integridad.

Ano ang HttpOnly at secure na flag?

HttpOnly at secure na mga flag ay maaaring gamitin upang gawing mas marami ang cookies ligtas . Kapag a ligtas na bandila ay ginagamit, pagkatapos ay ipapadala lamang ang cookie sa pamamagitan ng HTTPS, na HTTP sa SSL/TLS. Kailan HttpOnly flag ay ginagamit, hindi mababasa ng JavaScript ang cookie sa kaso ng pagsasamantala ng XSS.

Inirerekumendang: