I know that a cookie with secure flag won't be sent via an unencrypted connection. I wonder how this works in-depth.
Who is responsible for determining whether the cookie will be sent or not?
See Question&Answers more detail:os
person
1 Answer
The client sets this only for encrypted connections and this is defined in RFC 6265:
The Secure attribute limits the scope of the cookie to "secure" channels (where "secure" is defined by the user agent). When a cookie has the Secure attribute, the user agent will include the cookie in an HTTP request only if the request is transmitted over a secure channel (typically HTTP over Transport Layer Security (TLS) [RFC2818]).
Although seemingly useful for protecting cookies from active network attackers, the Secure attribute protects only the cookie's confidentiality. An active network attacker can overwrite Secure cookies from an insecure channel, disrupting their integrity (see Section 8.6 for more details).
- Xstack问答社区
- 生活宝问答社区
- OverStack问答社区
- Ostack问答社区
- 在这了问答社区
- 在哪了问答社区
- Xstack问答社区
- 无极谷问答社区
- TouSu问答社区
- SQlite问答社区
- Qi-U问答社区
- MLink问答社区
- Jonic问答社区
- Jike问答社区
- 16892问答社区
- Vigges问答社区
- 55276问答社区
- OGeek问答社区
- 深圳家问答社区
- 深圳家问答社区
- 深圳家问答社区
- Vigges问答社区
- Vigges问答社区
- 在这了问答社区
- DevDocs API Documentations
- Xstack问答社区
- 生活宝问答社区
- OverStack问答社区
- Ostack问答社区
- 在这了问答社区
- 在哪了问答社区
- Xstack问答社区
- 无极谷问答社区
- TouSu问答社区
- SQlite问答社区
- Qi-U问答社区
- MLink问答社区
- Jonic问答社区
- Jike问答社区
- 16892问答社区
- Vigges问答社区
- 55276问答社区
- OGeek问答社区
- 深圳家问答社区
- 深圳家问答社区
- 深圳家问答社区
- Vigges问答社区
- Vigges问答社区
- 在这了问答社区
- 在这了问答社区
- DevDocs API Documentations
- Xstack问答社区
- 生活宝问答社区
- OverStack问答社区
- Ostack问答社区
- 在这了问答社区
- 在哪了问答社区
- Xstack问答社区
- 无极谷问答社区
- TouSu问答社区
- SQlite问答社区
- Qi-U问答社区
- MLink问答社区
- Jonic问答社区
- Jike问答社区
- 16892问答社区
- Vigges问答社区
- 55276问答社区
- OGeek问答社区
- 深圳家问答社区
- 深圳家问答社区
- 深圳家问答社区
- Vigges问答社区
- Vigges问答社区
- 在这了问答社区
- DevDocs API Documentations
联盟问答网站-Union QA website
广告位招租