Können Cookies, die über HTTP gesetzt wurden, über HTTPS gelesen werden?
Antwort
Zu viele Anzeigen?
Cookies, die mit dem Schlüsselwort "Secure" versehen sind, werden vom Browser nur gesendet, wenn die Verbindung über ein sicheres Verfahren (HTTPS) erfolgt. Ansonsten gibt es keine Unterscheidung - wenn "sicher" fehlt, kann das Cookie über eine unsichere Verbindung gesendet werden.
Mit anderen Worten: Cookies, deren Inhalt Sie schützen wollen, sollten das Schlüsselwort "secure" verwenden und nur dann vom Server an den Browser gesendet werden, wenn der Benutzer eine HTTPS-Verbindung herstellt.
- HTTP : Keks mit "Sicher" wird nur zurückgegeben bei HTTPS Verbindungen (sinnlos, siehe Hinweis unten)
- HTTPS : Keks mit "Sicher" wird nur zurückgegeben bei HTTPS Verbindungen
- HTTP : Keks ohne "Sicher" wird zurückgegeben am HTTP o HTTPS Verbindungen
- HTTPS : Keks ohne "Sicher" wird zurückgegeben am HTTP o HTTPS Verbindungen (könnte sichere Informationen preisgeben)
Referenz: RFC 2109 Siehe 4.2.2 (Seite 4), 4.3.1
Hinweis : Es ist nicht mehr möglich, "sichere" Cookies über unsichere (z.B. HTTP) Ursprünge in Firefox und Chrome zu setzen, nachdem sie die Strenge Spezifikation für sichere Cookies .
