开发安全之:Cookie Security: Cookie not Sent Over SSL

Overview

程序创建了 Cookie,但未将 <code>Secure</code> 标记设置为 <code>true</code>。

Details

现今的 Web 浏览器支持每个 cookie 的 Secure 标记。如果设置了该标记,那么浏览器只会通过 HTTPS 发送 cookie。通过未加密的通道发送 cookie 将使其受到网络截取攻击,因此安全标记有助于保护 cookie 值的保密性。如果 cookie 包含私人数据或带有会话标识符,那么该标记尤其重要。

**示例 1:**以下代码会在未设置 Secure 标记的情况下将 cookie 添加到响应中。 ... setcookie("emailCookie", $email, 0, "/", "www.example.com"); ... 如果应用程序同时使用 HTTPS 和 HTTP,但没有设置 Secure 标记,那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。攻击者随后可截取未加密的网络信息流(通过无线网络时十分容易),从而危及 cookie 安全。

Recommendations

对所有新 cookie 设置 Secure 标记,指示浏览器不要以明文形式发送这些 cookie。通过将 true 作为第六个参数传递给 setcookie(),便可完成此配置。

**示例 2:**以下代码会通过将 Secure 标记设置为 true 来更正Example 1 中的错误。 setcookie("emailCookie", $email, 0, "/", "www.example.com", TRUE);

相关推荐
fu159357456832 分钟前
【边缘计算实战】P1:从零搭建边云任务卸载仿真实验台(Python 可复现)
数据库·python·边缘计算
隔壁阿布都1 小时前
MySQL 间隙锁死锁问题处理
数据库·mysql
qiuziqiqi1 小时前
Shopify推送订单及异常状态错误码说明
数据库
三品PLM系统2 小时前
【无标题】
数据库·制造·cadence·plm
ITxiaobing20233 小时前
如何构建IP维度的假量排查流程:以AppsFlyer Protect360判假后的实战为例
网络·数据库
ywl4708120874 小时前
mysql 锁定读和非锁定读
数据库·mysql
流浪0014 小时前
MySQL数据库基础篇(三):MySQL 数据库库级操作全解:创建、字符集、管理与备份恢复实战
数据库·mysql
绀目澄清4 小时前
私服网游云加速程序劫持流量排查与修复总结
windows·安全
昌旭咨询4 小时前
2026国内知名的CS认证咨询机构有哪些?企业该如何选择?
大数据·数据库·人工智能
吴声子夜歌4 小时前
Redis 3.x——集群运维
运维·数据库·redis