クッキーのsecure属性について。


(1)secure属性がついたクッキーをサーバからクライアントに送信する。
(2)クライアントは次回以降、そのサーバにアクセスする際、https通信でない限りリクエストと一緒にクッキーは送信しない

という流れになるでしょうか?

第1回 まずは「クッキー」を理解すべし - 「Webからの脅威」を攻略せよ――セッション管理編:ITpro http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294407/

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2011/10/12 12:49:28
  • 終了:2011/10/19 12:50:03

回答(1件)

id:uwao No.1

uwao回答回数171ベストアンサー獲得回数362011/10/12 14:54:11

SECUREでクッキーを保存すると、httpsからアクセスしなければクッキーを出力しなくなります。

SECUREで無い場合、当該サーバーのhttpの画面にアクセスした時にもPCはクッキーを出力してしまいますので、暗号化されないクッキー情報がWEBに送信されてしまいます。

これをクロスサイトスクリプティングの脆弱性と言っていたと思います。

IDやパスワードなどをクッキーに保存している場合、必ずSSLでアクセスするようにして、クッキーもSECRUE属性を付けておくとよいと思います。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません