secure플래그가 있는 쿠키 는 암호화되지 않은 연결을 통해 전송되지 않는다는 것을 알고 있습니다. 이것이 어떻게 작동하는지 깊이 궁금합니다.
쿠키 전송 여부를 결정하는 책임은 누구에게 있습니까?
답변
클라이언트는 암호화 된 연결에 대해서만이를 설정하며 이는 RFC 6265에 정의되어 있습니다 .
Secure 속성은 쿠키의 범위를 “보안”채널로 제한합니다 (여기서 “보안”은 사용자 에이전트에 의해 정의 됨). 쿠키에 보안 속성이 있으면 사용자 에이전트는 요청이 보안 채널 (일반적으로 TLS (HTTP over Transport Layer Security) [RFC2818])을 통해 전송되는 경우에만 HTTP 요청에 쿠키를 포함합니다.
활성 네트워크 공격자로부터 쿠키를 보호하는 데 유용 해 보이지만 Secure 속성은 쿠키의 기밀성 만 보호합니다. 활성 네트워크 공격자는 안전하지 않은 채널의 보안 쿠키를 덮어 써서 무결성을 방해 할 수 있습니다 (자세한 내용은 섹션 8.6 참조).
답변
주제에 대한 또 다른 단어 :
secure웹 사이트 example.com가 완전히 https 이기 때문에 생략하는 것만으로는 충분하지 않습니다.
사용자가 명시 적으로에 도달 http://example.com하면로 리디렉션 https://example.com되지만 이미 너무 늦습니다. 첫 번째 요청에는 쿠키가 포함되었습니다.
