web-dev-qa-db-ja.com

HSTS WebサイトのセキュアCookieフラグを設定することに意味がありますか?

WebサイトにHSTSと強制HTTPSが含まれている(つまり、ユーザーがWebサイトのプレーンHTTPバージョンにアクセスできない)場合、Cookieにsecure: trueを設定しても意味がありますか?

tlshttpcookiessession-management
20
Avery235

はい、次の3つの理由から、Cookieを安全であるとマークする必要があります。

  • サーバー構成の不都合のためだけにそれらを公開したくない。アプリケーションを別の構成のサーバーに移動するとどうなりますか?

  • HSTSは最初の使用で信頼されます。 HSTSの有効期限が切れていてもCookieの有効期限が切れていない場合、ブラウザはそれらを暗号化せずに送信することがあります。プレーンなHTTPに応答するものがあるかどうかはここでは関係ありません。

  • Tgr が書き込むように、すべてのブラウザがHSTSをサポートするわけではありません。

ここではメリットはそれほど大きくありませんが、コストは基本的にゼロです。安全なフラグを設定してください!

40
Anders

すべてのブラウザがHSTSに対応しているわけではありません。 IEたとえば、モバイルは対応していません;デスクトップIEバージョン11以降でのみ対応します;クラウド- Opera Miniのようなベースのブラウザはそうではありません。Cookieを安全であるとマークすることは簡単で、十分な防御力があります。

14
Tgr