¿Se pueden leer las cookies establecidas mediante HTTP utilizando HTTPS?Lectura de cookies a través de HTTPS que se establecieron mediante HTTP
48
A
Respuesta
79
Las cookies establecidas con la palabra clave "Segura" solo serán enviadas por el navegador cuando se conecte por medios seguros (HTTPS). Aparte de eso, no hay distinción: si no existe "seguro", la cookie puede enviarse a través de una conexión insegura.
En otras palabras, las cookies que desea proteger el contenido de deben utilizar la palabra clave segura y solo debe enviarlas desde el servidor al navegador cuando el usuario se conecta a través de HTTPS.
- HTTP: Galleta con "seguro" será devuelto sólo en HTTPS conexiones (sin sentido para hacer, ver nota más abajo)
- HTTPS: Galleta con "seguro" se ser devuelto solo en HTTPS conexiones
- HTTP: Cookie w ithout "seguro" será devuelta a la HTTP o HTTPS conexiones
- HTTPS: Galleta sin "seguro" será devuelta a la HTTP o HTTPS conexiones (podría filtrar información segura)
Referencia: RFC 2109 Ver 4.2.2 (página 4), 4. 3.1
Nota: Ya no es posible establecer cookies "seguras" sobre inseguras (p. Ej. HTTP) en Firefox y Chrome después de implementar el Strict Secure Cookies specification.
Cuestiones relacionadas
- 1. HTTP Cookies y solicitudes de AJAX a través de HTTPS
- 2. http to https a través de .htaccess
- 3. Cookie a través de HTTP y HTTPS en PHP
- 4. Cookies de sesión seguras en ASP.NET a través de HTTPS
- 5. No se pueden eliminar las cookies que se establecieron en JavaScript en el servidor
- 6. solicitud HTTPS a través de AJAX de la página HTTP
- 7. HTTP Solicitud Ajax a través de HTTPS Página
- 8. http a https redirección
- 9. ¿Alternativo a cookies de HTTP?
- 10. Método de pago personalizado de Magento: cómo obtener los datos que se establecieron a través de Mage_Payment_Model_Method_Abstract :: assignData()?
- 11. Llamar a HTTPS desde HTTP a través de AJAX para iniciar sesión
- 12. ¿Cómo se configuran los servicios de WCF a través de HTTPS sin enlace HTTP?
- 13. java.security.PrivilegedActionException mientras que golpea servicios web a través de HTTPS
- 14. Android lectura de cookies
- 15. ¿Se puede cifrar (sin SSL) una autenticación mediante HTTP a través de IIS?
- 16. HTTP y HTTPS iframe
- 17. ¿Cómo redirige HTTPS a HTTP?
- 18. HTTPS a HTTP solicitud JSONP
- 19. PHP: HTTP o HTTPS?
- 20. Jsoup Cookies para HTTPS raspado
- 21. nginx redirigir HTTPS a HTTP
- 22. Redireccionando de HTTP a HTTPS con PHP
- 23. Publicación de anuncios a través de HTTPS
- 24. Puede window.location cambiar de https a http
- 25. Redirección permanente de http a https página
- 26. ¿Cómo hacer que Sinatra funcione a través de HTTPS/SSL?
- 27. Creación de cookies a través de jquery
- 28. inteligente HTTP a través de IIS
- 29. ¿Es posible hacer una solicitud JSONP de HTTPS a HTTP?
- 30. ¿Cómo puedo obligar a los usuarios a acceder a mi página a través de HTTPS en lugar de HTTP?
Buena información ... ¿hay alguna especificación u otra referencia en alguna parte que tenga esta información? –
Good ol 'RFC2109 http://www.w3.org/Protocols/rfc2109/rfc2109 Tenga en cuenta que "HTTPS" no se menciona, que no se especifica allí. – richq
Gracias, lo he agregado a tu respuesta, espero que no te importe :) –