secure
플래그가있는 쿠키는 암호화되지 않은 연결을 통해 전송되지 않습니다. 이것이 어떻게 작동하는지 궁금합니다.쿠키 "보안"플래그는 어떻게 작동합니까?
쿠키를 보낼지 여부는 누가 결정합니까? 이 암호화 된 연결이 단지
secure
플래그가있는 쿠키는 암호화되지 않은 연결을 통해 전송되지 않습니다. 이것이 어떻게 작동하는지 궁금합니다.쿠키 "보안"플래그는 어떻게 작동합니까?
쿠키를 보낼지 여부는 누가 결정합니까? 이 암호화 된 연결이 단지
클라이언트 세트 RFC 6265에 정의되어
보안 특성은 채널을 "고정"하기 위해 쿠키의 범위를 제한한다 (여기서, "보안"사용자 에이전트에 의해 정의된다). 쿠키에 보안 속성이있는 경우 사용자 에이전트는 요청이 보안 채널 (일반적으로 TLS (Transport Layer Security) [RFC2818]을 통한 HTTP)을 통해 전송되는 경우에만 HTTP 요청에 쿠키를 포함시킵니다.
활성 네트워크 공격자의 쿠키를 보호하는 데 유용 할 듯 보이지만 Secure 특성은 쿠키의 기밀성 만 보호합니다. 활성 네트워크 공격자는 안전하지 않은 채널의 보안 쿠키를 덮어 써서 무결성을 파괴 할 수 있습니다 (자세한 내용은 섹션 8.6 참조). 주제에
그냥 다른 단어 : 당신의 웹 사이트 example.com
가 완전히 HTTPS 때문에
가 secure
를 생략는 충분하지 않습니다.
사용자가 명시 적으로 http://example.com
에 도달하는 경우 https://example.com
으로 리디렉션되지만 너무 늦은 경우 첫 번째 요청에 쿠키가 포함됩니다.
클라이언트 측에 아직 쿠키가없고 서버 측 (예 : 로그인)에서 전송해야하는 경우 서버 측에서 응답으로 쿠키를 포함하도록 결정할 것입니까? – ted
서버는 "Set-Cookie headers"를 통해 초기에 쿠키를 설정합니다. – Ivan