我知道带有secure标志的cookie不会通过未加密的连接发送。我想知道这是如何深入工作的。
谁负责确定是否发送cookie?
客户端仅为加密连接设置此项,这在 RFC 6265 中定义:
Secure 属性将 Cookie 的范围限制为"安全"通道(其中"安全"由用户代理定义)。当 Cookie 具有 Secure 属性时,仅当请求通过安全通道(通常是通过传输层安全性 (TLS) [RFC2818] 传输)传输请求时,用户代理才会在 HTTP 请求中包含 Cookie。
尽管 Secure 属性对于保护 Cookie 免受活跃网络攻击者的攻击似乎很有用,但它仅保护 Cookie 的机密性。活跃的网络攻击者可以覆盖来自不安全通道的安全 Cookie,从而破坏其完整性(有关更多详细信息,请参阅第 8.6 节)。
关于这个主题的另一个词:
省略secure,因为您的网站example.com完全是https是不够的。
如果您的用户明确访问http://example.com,他们将被重定向到https://example.com但为时已晚;第一个请求包含cookie。