SSL также шифрует файлы cookie?

Обзор SO не категорически не отвечает на этот вопрос. Это может быть подразумевается, но я хотел бы получить его в записи специально.

Если SSL активен, он будет шифровать данные заголовка HTTP, например, "set-cookie"? Я знаю о "setSecure" только для передачи cookie, если HTTPS активен, но если SSL активен, я хотел бы подтвердить, что все данные заголовка по умолчанию зашифрованы без необходимости использования setSecure.

Ответы

Ответ 1

Данные, переданные по протоколу SSL (HTTPS), полностью зашифрованы, включая заголовки (следовательно, файлы cookie), только хост, которому вы отправляете запрос, не зашифрован. Это также означает, что запрос GET зашифрован (остальная часть URL-адреса).

Хотя злоумышленник может заставить клиента реагировать на HTTP, поэтому настоятельно рекомендуется использовать флаг "Безопасный" в вашем файле cookie, который обеспечивает использование HTTPS для отправки файлов cookie.

Кроме того, использование флага HTTPOnly значительно повысит безопасность вашего сайта, поскольку он не позволяет читать файлы cookie с кодом Javascript (устранение уязвимых уязвимостей XSS).

Ответ 2

SSL шифрует весь сеанс HTTP, включая заголовки.

Вот почему они переименовали его в TLS для "Transport Layer Security". "Уровень транспорта" находится ниже уровня "Application Layer" (помимо прочего) в сетевом стеке.

Итак, да.