Cookie Secure 属性

2019-11-15 10:13| 作者: admin| 查看: 218| 评论: 0|来自: 蚂蚁部落

当前HTTPS正在逐渐普及,主要是因为HTTP具有诸多安全性上的问题。

下面对HTTP主要安全性缺点罗列如下:

(1).数据以明文方式传输,很明显不够安全。

(2).对数据的完整性也缺乏验证。

(3).上述问题在涉及到支付等与金钱有关的站点特别突出。

Secure属性规定cookie只能在https协议下才能够发送到服务器。

可以在一定程度上防止信息在传递的过程中被监听捕获,从而导致信息泄漏。

语法结构:

[JavaScript] 纯文本查看 复制代码
Secure

Secure属性不需要显式规定属性值。

代码实例如下:

[JavaScript] 纯文本查看 复制代码
document.cookie = 'softwhy="青岛市南区";max-age=1200;path=/;secure;'

通过谷歌浏览器开发者工具控制台设置上述Cookie具有Secure属性。

上述代码执行结果会出现如下两种情况:

(1).如果站点采用HTTPS,那么Cookie生成成功。

(2).如果站点采用HTTP,那么Cookie生成失败。

上面是前端JavaScript写入Cookie,后端语言也遵循上面两条原则,看如下PHP代码:

[PHP] 纯文本查看 复制代码
<?php
$value = 'antzone';
setcookie("softwhy", $value, time()+3600, "/", "",1);
?>

如果站点采用HTTPS,那么Cookie生成成功。

如果站点采用HTTP,那么Cookie生成失败,尽管在HTTP头部有对应的Set-Cookie内容:

a:3:{s:3:\"pic\";s:43:\"portal/201911/15/101915p3lxxvr6o73h447l.png\";s:5:\"thumb\";s:0:\"\";s:6:\"remote\";N;}

虽然在Set-Cookie中有对应的设置操作,但是不会真正成功生成对应Cookie。

最后再强调一点,由于Cookie本身就不够安全,所以特别重要信息不建议用Cookie保存传输。


鲜花

握手

雷人

路过

鸡蛋

最新评论

返回顶部