通过使用HTTP设置的HTTPS读取cookie
可以使用HTTPS读取使用HTTP设置的Cookie吗?
使用安全方式(HTTPS)进行连接时,使用“安全”关键字设置的Cookie只能由浏览器发送。 除此之外,没有区别 – 如果“安全”不存在,cookie可能通过不安全的连接发送。
换句话说,要保护内容的Cookie应该使用secure关键字,并且只有当用户通过HTTPS连接时,才应该从服务器将其发送到浏览器。
- HTTP : 具有“安全”的 Cookie将仅在HTTPS连接上返回(无意义,请参阅下面的注释)
- HTTPS : 具有“安全”的 Cookie将仅在HTTPS连接上返回
- HTTP : HTTP或HTTPS连接将返回没有“安全”的 Cookie
- HTTPS : 没有“安全”的 Cookie将在HTTP或HTTPS连接上返回(可能泄露安全信息)
参考: RFC 2109见4.2.2(第4页),4.3.1
注意 :在实施严格安全Cookie规范后,不再可能通过Firefox和Chrome上的不安全(例如HTTP)来源设置“安全”Cookie。
