Đọc cookie qua HTTPS được đặt bằng HTTP

Question

Cookie có thể đặt bằng HTTP có được đọc bằng HTTPS không?

Answer 1

Cookie được đặt bằng từ khóa "Bảo mật" sẽ chỉ được trình duyệt gửi khi kết nối bằng phương tiện bảo mật (HTTPS). Bên cạnh đó không có sự phân biệt - nếu "an toàn" vắng mặt, cookie có thể được gửi qua một kết nối không an toàn.

Nói cách khác, cookie mà bạn muốn bảo vệ nội dung nên sử dụng từ khóa an toàn và bạn chỉ nên gửi chúng từ máy chủ đến trình duyệt khi người dùng kết nối qua HTTPS.

• HTTP: Cookie với "Bảo vệ" sẽ được trả lại chỉ trên HTTPS kết nối (vô nghĩa để làm, xem ghi chú bên dưới)
• HTTPS: Cookie với "Bảo vệ" sẽ chỉ được trả lại trên HTTPS kết nối
• HTTP: Cookie w ithout "Bảo vệ" sẽ được trả lại vào HTTP hoặc HTTPS kết nối
• HTTPS: Cookie mà không "an toàn" sẽ được trả lại vào HTTP hoặc HTTPS kết nối (có thể bị rò rỉ thông tin an toàn)

---

tham khảo: RFC 2109 Xem 4.2.2 (trang 4), 4. 3.1

Lưu ý: Không còn có thể đặt cookie "bảo mật" quá không an toàn (ví dụ: HTTP) xuất phát trên Firefox và Chrome sau khi triển khai Strict Secure Cookies specification.