Http和secure的矛盾
RFC6265标准只规定具有secure属性的Cookie需要在保密通道中发送给服务端,但是并没有规定是否必须要通过保密通道才能下发Cookie。这大大降低了secure带来的安全性,因为攻击者很有可能在Http(非Https)通道下覆盖具有secure属性的Cookie。
幸运的是,草案draft-ietf-httpbis-rfc6265bis-01已经提出,Http通道不可以操作具有secure属性的Cookie。
现在的主流浏览器积极的实现了这一提议,Http环境下,无论是Javascript的document.cookie还是Http的Response,都不可以设置修改secure属性的Cookie。具有secure属性的Cookie只能在Https的环境下才有可能被访问。
此篇到此结束。
