通过使用HTTP设置的HTTPS读取Cookie

设置了“安全”关键字的Cookie仅在通过安全方式(HTTPS)连接时由浏览器发送。除此之外,没有区别-如果没有“安全”,cookie可能通过不安全的连接发送。

换句话说,要保护其内容的Cookie应使用secure关键字,并且仅当用户通过HTTPS连接时,才应将其从服务器发送到浏览器。

• 只会在
• :曲奇 用“安全的” 只会在 连接
• 超文本传输协议 :曲奇 没有“安全” 将于 或 HTTPS 连接
• HTTPS :曲奇 超文本传输协议 或 连接(可能泄漏安全信息)

参考: RFC 2109 见4.2.2(第4页),4.3.1

:在Firefox和Chrome上实现了“安全”cookie后,不再可能在不安全(例如HTTP)源上设置“安全”cookie Strict Secure Cookies specification .