SSL также шифрует куки?

Question

Обзор SO не дает однозначного ответа на этот вопрос. Это может подразумеваться, но я бы хотел, чтобы это было записано специально.

Если SSL активен, он будет шифровать данные заголовка HTTP, например, «set-cookie»? Я знаю о "setSecure" для передачи файлов cookie только при активном HTTPS, но если SSL активен, я хотел бы подтвердить, что все данные заголовка зашифрованы по умолчанию без необходимости использования "setSecure".

Answer 1

Данные, отправленные по протоколу SSL (HTTPS), полностью зашифрованы, включая заголовки (отсюда куки), только тот хост, на который вы отправляете запрос, не зашифрован.Это также означает, что запрос GET зашифрован (остальная часть URL).

Хотя злоумышленник может заставить клиента отвечать по HTTP, поэтому настоятельно рекомендуется использовать флаг «Безопасный» в вашем файле cookie., что предписывает использование HTTPS для отправки файлов cookie.

Кроме того, использование флага HTTPOnly значительно повысит безопасность вашего сайта, поскольку он не позволяет читать файлы cookie с помощью кода Javascript (уменьшение потенциальных уязвимостей XSS).

Answer 2

SSL шифрует весь сеанс HTTP, включая заголовки.

Именно поэтому они переименовали его в TLS для «безопасности транспортного уровня».«Транспортный уровень» расположен ниже «уровня приложений» (среди прочих) в сетевом стеке.

Так что да.