ฉันรู้ว่าคุกกี้ที่มีsecureค่าสถานะจะไม่ถูกส่งผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส ฉันสงสัยว่ามันทำงานในเชิงลึกอย่างไร
ใครเป็นผู้รับผิดชอบในการพิจารณาว่าคุกกี้จะถูกส่งหรือไม่?
ฉันรู้ว่าคุกกี้ที่มีsecureค่าสถานะจะไม่ถูกส่งผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส ฉันสงสัยว่ามันทำงานในเชิงลึกอย่างไร
ใครเป็นผู้รับผิดชอบในการพิจารณาว่าคุกกี้จะถูกส่งหรือไม่?
คำตอบ:
ไคลเอนต์ตั้งค่านี้สำหรับการเชื่อมต่อที่เข้ารหัสเท่านั้นและกำหนดไว้ในRFC 6265 :
แอตทริบิวต์ Secure จำกัด ขอบเขตของคุกกี้ไว้ที่ช่อง "ปลอดภัย" (โดยตัวแทนผู้ใช้ "ปลอดภัย" กำหนดไว้) เมื่อคุกกี้มีแอตทริบิวต์ที่ปลอดภัยตัวแทนผู้ใช้จะรวมคุกกี้ไว้ในคำขอ HTTP ก็ต่อเมื่อคำขอถูกส่งผ่านช่องทางที่ปลอดภัย (โดยทั่วไปคือ HTTP ผ่าน Transport Layer Security (TLS) [RFC2818])
แม้ว่าจะดูเหมือนมีประโยชน์ในการปกป้องคุกกี้จากผู้โจมตีเครือข่ายที่ใช้งานอยู่ แต่แอตทริบิวต์ Secure จะปกป้องเฉพาะการรักษาความลับของคุกกี้เท่านั้น ผู้โจมตีเครือข่ายที่ใช้งานอยู่สามารถเขียนทับคุกกี้ที่ปลอดภัยจากช่องทางที่ไม่ปลอดภัยซึ่งขัดขวางความสมบูรณ์ของพวกเขา (ดูหัวข้อ 8.6 สำหรับรายละเอียดเพิ่มเติม)
อีกคำหนึ่งในหัวข้อ:
การละเว้นsecureเนื่องจากเว็บไซต์ของคุณexample.comเต็ม https นั้นไม่เพียงพอ
หากผู้ใช้ของคุณเข้าถึงอย่างชัดเจนhttp://example.comพวกเขาจะถูกเปลี่ยนเส้นทางไปhttps://example.comแต่ก็สายเกินไปแล้ว คำขอแรกมีคุกกี้
secure?