Entry № 1100
Secure Cookie 标志
Secure Cookie 标志 是什么?
Secure Cookie 标志告诉浏览器仅在 HTTPS 上发送该 Cookie 的属性,防止其在网络上以明文传输。
Set-Cookie 中的「Secure」属性将 Cookie 限定在加密连接上发送:浏览器不会通过明文 HTTP 传输该 Cookie,从而消除会话令牌等敏感值最常见的截获途径。当使用「SameSite=None」时必须设置 Secure,且大多数现代隐私法规也对认证 Cookie 提出此要求。Secure 必须与 HttpOnly、SameSite 以及合适的作用域(Domain、Path)结合使用,网站本身也需端到端强制 HTTPS(HSTS、重定向),该标志才有意义。现代浏览器会拒绝通过明文 HTTP 响应设置 Secure Cookie。
● 示例
- 01
「Set-Cookie: id=eyJ...; Secure; HttpOnly; SameSite=Lax; Path=/」。
- 02
API 令牌以「Set-Cookie: api_token=...; Secure; SameSite=Strict; HttpOnly」形式下发。
● 常见问题
Secure Cookie 标志 是什么?
告诉浏览器仅在 HTTPS 上发送该 Cookie 的属性,防止其在网络上以明文传输。 它属于网络安全的 应用安全 分类。
Secure Cookie 标志 是什么意思?
告诉浏览器仅在 HTTPS 上发送该 Cookie 的属性,防止其在网络上以明文传输。
如何防御 Secure Cookie 标志?
针对 Secure Cookie 标志 的防御通常结合技术控制与运营实践,详见上方完整定义。
Secure Cookie 标志 还有哪些其他名称?
常见的别称包括: Secure 标志。