it-swarm-vi.com

Làm cách nào để kiểm tra xem cookie của tôi chỉ được gửi qua https được mã hóa chứ không phải http?

Tôi đã đọc một bài đăng trên blog GitHub chuyển sang SSL, nhưng vẫn có thể điều khiển được tuyên bố rằng cookie có thể được gửi không được mã hóa qua http ngay cả khi trang web chỉ sử dụng https. Họ viết rằng một cookie nên được đánh dấu bằng "cờ an toàn", nhưng tôi không biết lá cờ đó trông như thế nào.

Làm cách nào tôi có thể kiểm tra xem cookie của tôi chỉ được gửi qua https được mã hóa và không qua http không được mã hóa, trên trang web của tôi chỉ sử dụng https?

45
Jonas

Cờ bảo mật cookie trông như thế này:

đảm bảo;

Đó là nó.
[.___.] Điều này sẽ xuất hiện ở cuối tiêu đề http:

Set-Cookie: mycookie = somevalue; đường dẫn =/securesite /; Hết hạn = 12/12/2010; đảm bảo; httpOnly;

Tất nhiên, để kiểm tra nó, chỉ cần cắm bất kỳ proxy hoặc trình thám thính nào (tôi sử dụng xuất sắc Fiddler ) và xem ...

* Phần thưởng: Tôi cũng đã ném vào đó thuộc tính httpOnly, bảo vệ chống truy cập cookie từ không gian Javascript, ví dụ: thông qua XSS.

48
AviD

Bạn có thể kiểm tra bằng cách sử dụng một công cụ như Fireorms (một tiện ích mở rộng cho Firefox: http://getfireorms.com/ ). Cookie sẽ hiển thị dưới dạng 'an toàn'.

Ngoài ra, nếu bạn đang ở trong Firefox, bạn có thể chắc chắn nhìn vào cửa sổ 'Xóa từng Cookies'.

Từ quan điểm phát triển, cookie 'an toàn' giống như cookie thông thường, nhưng có thêm một tham số. ví dụ.

SessionId=blah; path=/; secure; HttpOnly

Khung phát triển của bạn với hy vọng hỗ trợ thêm điều này một cách dễ dàng - hãy cho chúng tôi biết bạn đang sử dụng nền tảng nào nếu bạn cần trợ giúp.

Trong khi bạn ở đó, tôi cũng khuyên bạn nên thêm cờ httpOnly nếu bạn không thao tác cookie trong Javascript, nó sẽ cung cấp cho cookie sự bảo vệ bổ sung khỏi một số cuộc tấn công XSS.

19
KirkJ

Bạn cũng có thể sử dụng plugin của Google chrome để đạt được điều này rất tốt là Advance REST Client

Một đầu ra mẫu trông như thế này:

Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Content-Type: application/json
Content-Length: 104
X-Content-Type-Options: nosniff
Server: WEBrick/1.3.1 (Ruby/2.0.0/2015-12-16)
Date: Thu, 25 Aug 2016 07:15:57 GMT
Set-Cookie: your.cookie.name=some-hash-uuid-here; domain=your-backend-hostname.com; path=/; expires=Sat, 24 Sep 2016 07:15:57 -0000; HttpOnly; secure
Via: 1.1 vegur

Như bạn thấy ở cuối giá trị của thuộc tính ' Set-Cookie ', bạn sẽ thấy Word ' được bảo mật 'như đã nhận xét nhiều lần về các câu trả lời trước đó, nhưng cũng chú ý cách có một thuộc tính được gọi là' Strict-Transport-Security 'đó là quan trọng để đề cập.

3
d1jhoni1b