Servlets SSL也加密cookie吗？

对SO的回顾并不能明确回答这个问题。这可能是暗示，但我想把它记录在案

---

如果SSL处于活动状态，它将加密HTTP头数据，如“设置cookie”？我知道“setSecure”仅在HTTPS处于活动状态时传输cookie，但如果SSL处于活动状态，我想确认默认情况下是否对所有标头数据进行了加密，而无需使用“setSecure”。

SSL加密整个HTTP会话，包括标头

这就是为什么他们为了“传输层安全性”而将其重命名为TLS。“传输层”位于网络堆栈中的“应用层”（以及其他层）之下

因此，是的。

通过SSL（HTTPS）发送的数据是完全加密的，包括头（因此包含cookie），只有您发送请求的主机是未加密的。这还意味着GET请求是加密的（URL的其余部分）

尽管攻击者可以强制客户端通过HTTP进行响应，但强烈建议在cookie中使用“安全”标志，强制使用HTTPS发送cookie

---

此外，使用标记HTTPOnly将极大地增强站点的安全性，因为它不允许使用Javascript代码读取cookie（减少潜在的XSS漏洞）。

您对面向协议的攻击提出了一些好的看法。最好保持“setSecure（true）”以保护会话信息不受协议切换的影响+1那么接下来是什么样的加密？