Скажите, что вы хотите отправлять файлы cookie только через HTTPS, а не через HTTP. Вы можете использовать безопасные флаги HTTP, как указано в статье this. Однако, поскольку вы можете использовать модуль Apache mod_rewrite для отправки перенаправления пользователю из версии HTTP вашего сайта на версию HTTPS, разве это не означает, что он будет защищать файлы cookie? Другими словами, отправляет ли сервер ваши файлы cookie, если он отправляет перенаправление?Может ли mod_rewrite безопасное куки?
ответ
Если вы перенаправляете из HTTP в HTTPS и затем устанавливаете куки-файлы, эти файлы cookie будут установлены через HTTPS. Скажем, вы перенаправляете пользователя от http://www.example.com
до https://www.example.com
, заголовок Set-Cookie
, отправленный с www.example.com
, будет зашифрован во время транспортировки пользователем.
Однако, если пользователь возвращается и вводит http://www.example.com
в своем браузере, еслине был указан в файле cookie, cookie будет отправлен через HTTP, незашифрованный.
Это может произойти, если любые внутренние ссылки на вашем сайте являются HTTP, любые ссылки на других сайтах, принадлежащие вам, являются HTTP или если злоумышленник MITM вводит HTTP-ресурс с вашего сайта на другой сайт (например, <img src="http://www.example.com/x.jpg" />
будет вытеснять файл cookie HTTP).
Именно поэтому рекомендуется установить безопасный флаг. HSTS может использоваться, чтобы гарантировать, что соединения остаются только на HTTPS, однако установка защищенного флага должна быть основным фокусом.
- 1. Может ли mod_rewrite сделать математику?
- 2. Может ли mod_rewrite сохранить двойную косую черту?
- 3. Использует ли сеанс куки?
- 4. Может ли два разных клиента каким-то образом делиться куки?
- 5. Может ли Tomcat дать мне разные куки для разных путей?
- 6. Безопасны ли JWT в куки?
- 7. Гарантировано ли это безопасное литье?
- 8. Как mod_rewrite может добавить субдомен?
- 9. Должен ли я использовать куки?
- 10. Определяет ли веб-искатель куки?
- 11. Может ли mod_rewrite привести к игнорированию запросов GET?
- 12. Может ли mod_rewrite игнорировать пользовательский префикс имени файла?
- 13. Может ли mod_rewrite конвертировать любое количество параметров с любыми именами?
- 14. Может ли самопроизвольная анонимная функция конфликтовать с или flummox MOD_REWRITE?
- 15. Может ли MOD_Rewrite перезаписывать второй запуск через правила перезаписи?
- 16. Безопасное CookieSession при использовании iisnode
- 17. Является ли хорошей практикой использование двойного перенаправления в mod_rewrite?
- 18. не может прочитать браузер куки в питона
- 19. ASP.NET MVC не может читать куки
- 20. JS не может совпадать с именем куки
- 21. Php не может читать безопасные куки
- 22. Невозможно удалить куки, но может читать
- 23. Использование сокета io через http, возможно ли безопасное протоколирование?
- 24. Безопасное голосование
- 25. Безопасное обнаружение, существует ли элемент в jQuery
- 26. Есть ли «безопасное» количество данных для хэша?
- 27. Можно ли сделать Double mod_rewrite?
- 28. Как проверить, работает ли mod_rewrite
- 29. Правильно ли это правило mod_rewrite?
- 30. Можно ли сделать «обратный» mod_rewrite?
Интересно. Я на самом деле не совсем уверен. – Sumurai8
Безопасные файлы cookie полностью основаны на клиентах. Веб-браузер отправляет только куки, отмеченные как таковые, если он считает, что он подключается с помощью HTTPS. – Phylogenesis
Я здесь немного смущен. Изменения mod_rewrite от HTTP до HTTPS обычно включают отправку заголовка 'Location' при подключении без SSL. Это говорит клиенту повторно подключиться с помощью HTTPS. Ни в коем случае mod_rewrite не имеет никакого контроля над заголовком «Set-Cookie». – Phylogenesis