假设客户端和服务器之间的所有通信都是通过SSL进行的,并且在cookie上设置了"requireSSL=true"。
HTTPS是基于TLS/SSL的HTTP,它在交换任何HTTP消息之前建立SSL/TLS连接。
只要双方都配置正确,并且客户端验证了证书,SSL/TLS隧道将保护HTTP流量免受MITM攻击和窃听。
这样可以防止浏览器和服务器之间的任何一方看到该cookie。此外,如果这是一个安全cookie(带有secure
标志,可能使用requireSSL=true
进行配置),则浏览器应仅在HTTPS请求时将其发送回(如果您的网站同时使用HTTP和HTTPS)。(在cookie上设置httpOnly
可能也很有用,以防止涉及脚本的攻击。)
通常不是,只能被窃取
- 浏览器中的错误
- 中间人进攻
- 弱密码算法