使用HTTP发送的敏感身份验证cookie_Http_Authentication_Cookies_Https

使用HTTP发送的敏感身份验证cookie

http authentication cookies https

使用HTTP发送的敏感身份验证cookie,http,authentication,cookies,https,Http,Authentication,Cookies,Https,假设有一个网站，经过身份验证后设置浏览器cookie。这个Cookie足以验证一个用户，所以如果我将它转移到另一个计算机的浏览器，网站会考虑这个浏览器被认证。该网站使用HTTPS进行所有通信，但以下通信除外。每当用户向发送请求并被重定向时，sensetive cookie就会使用HTTP（非安全）在第一个请求中被发送在使用纯文本发送密钥之后使用HTTPS似乎很奇怪。这是一个安全问题，还是我没有正确理解这一点？敏感Cookie需要通过Secure属性进行保护。否则，很容易被主动网络攻击者截获。

假设有一个网站，经过身份验证后设置浏览器cookie。这个Cookie足以验证一个用户，所以如果我将它转移到另一个计算机的浏览器，网站会考虑这个浏览器被认证。该网站使用HTTPS进行所有通信，但以下通信除外。每当用户向发送请求并被重定向时，sensetive cookie就会使用HTTP（非安全）在第一个请求中被发送

在使用纯文本发送密钥之后使用HTTPS似乎很奇怪。这是一个安全问题，还是我没有正确理解这一点？

敏感Cookie需要通过

Secure

属性进行保护。否则，很容易被主动网络攻击者截获。根据：

Secure属性将cookie的范围限制为“安全”通道（其中“安全”由用户代理定义）。当cookie具有Secure属性时，仅当请求通过安全通道传输时（通常是HTTP over Transport Layer Security（TLS））用户代理才会在HTTP请求中包含cookie

这样，敏感身份验证cookie就不会在非HTTPS请求中发送，从而对其保密。示例

Set cookie

语句如下：

Set-Cookie: SID=31d4d96e407aad42; Path=/; Secure; HttpOnly

但是，请注意

Secure

属性仅保护cookie的机密性，而不是完整性：

尽管安全属性在保护cookie免受主动网络攻击者攻击方面似乎很有用，但它只保护cookie的机密性。主动网络攻击者可以从不安全的通道覆盖安全cookie，从而破坏其完整性