对SO的审查并不能明确回答这个问题。这可能是隐含的,但我想把它具体记录下来。
如果SSL处于活动状态,它将加密HTTP标头数据,如"设置cookie"?我知道"setSecure"只在HTTPS处于活动状态时传输cookie,但如果SSL处于活动状态,我想确认是否默认情况下对所有标头数据进行了加密,而无需使用"setSecurity"。
通过SSL(HTTPS)发送的数据是完全加密的,包括标头(因此包括cookie),只有您发送请求的主机没有加密。这也意味着GET请求是加密的(URL的其余部分)。
尽管攻击者可以强制客户端通过HTTP进行响应,但强烈建议在cookie中使用"安全"标志,该标志强制使用HTTPS发送cookie。
此外,只使用HTTPOnly标志将大大增强您网站的安全性,因为它不允许使用Javascript代码读取Cookie(缓解潜在的XSS漏洞)。
SSL加密整个HTTP会话,包括报头。
这就是为什么他们将其重命名为TLS以表示"传输层安全性"。"传输层"位于网络堆栈中的"应用层"(以及其他层)之下。
是的。