Http “饼干是怎么做的？”；“安全”；卖旗工作？

我知道带有

secure

标志的cookie不会通过未加密的连接发送。我想知道这是如何深入运作的

---

谁负责确定是否发送cookie？

客户端仅为加密连接设置此选项，此选项在中定义：

Secure属性将cookie的范围限制为“安全”通道（其中“安全”由用户代理定义）。当cookie具有Secure属性时，仅当请求通过安全通道传输时，用户代理才会将cookie包括在HTTP请求中（通常是HTTP over Transport Layer Security（TLS）[RFC2818]）

虽然似乎有助于保护cookie免受主动网络攻击者的攻击，但安全属性仅保护cookie的机密性。主动网络攻击者可以覆盖来自不安全通道的安全cookie，从而破坏其完整性（有关更多详细信息，请参阅第8.6节）

---

就这个问题再说一句：

由于您的网站

example.com

完全使用https，因此省略

secure

是不够的

---

如果用户明确访问

http://example.com

，它们将被重定向到

https://example.com

但是已经太晚了；第一个请求包含cookie。

如果客户端还没有cookie，并且应该从服务器端发送它们（例如登录），服务器端是否会决定在响应中包含cookie？服务器最初通过“设置cookie头”设置cookie我知道这是旧的，但是HSTS预加载通过防止该问题频繁发生而有助于这种情况。它仍然不是100%修复，但它只是另一件事要考虑，如果你真的想要避免安全Cookie。@ MR.单色，为什么你想避免安全cookie？@ MR.No.Chror，虽然一些旧的或较低规格浏览器，我相信，甚至不支持HSTSGooPoT点。对于.NET应用程序，最好在IIS（或web.config）中进行重定向，而不是以编程方式（例如globals.asax）进行重定向。因此，如果您没有从http重定向到https，并且只在https上提供服务，那么您就不需要

安全

？