SSL也encryptioncookie吗?

SO的评论并没有明确地回答这个问题。 这可能是暗示的,但我想明确地logging下来。

如果SSL处于活动状态,它将encryptionHTTP标头数据,如“set-cookie”? 我知道“setSecure”只在HTTPS处于活动状态时才传输cookie,但如果SSL处于活动状态,我想确认是否所有标题数据在默认情况下都被encryption,而不需要使用“setSecure”。

通过SSL(HTTPS)发送的数据是完全encryption的,包含头(因此是cookie),只有您发送请求的主机没有encryption。 这也意味着GET请求被encryption(URL的其余部分)。

尽pipe攻击者可以强制客户端通过HTTP进行响应,但强烈build议您在Cookie中使用“安全”标志,强制使用HTTPS发送Cookie。

此外,使用HTTPOnly标志将大大提高您网站的安全性,因为它不允许使用Javascript代码读取Cookie(缓解潜在的XSS漏洞)。

SSLencryption整个HTTP会话,包括标题。

这就是为什么他们将TLS重命名为“传输层安全性”。 “传输层”位于networking堆栈中的“应用层”之下(等等)。

所以是的。