人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile
クッキーのsecure属性について。

(1)secure属性がついたクッキーをサーバからクライアントに送信する。
(2)クライアントは次回以降、そのサーバにアクセスする際、https通信でない限りリクエストと一緒にクッキーは送信しない

という流れになるでしょうか?

第1回 まずは「クッキー」を理解すべし - 「Webからの脅威」を攻略せよ――セッション管理編:ITpro http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294407/
●質問者: koime_ryokutya
●カテゴリ:コンピュータ インターネット
○ 状態 :終了
└ 回答数 : 1/1件
▽最新の回答へ
1 ● uwao

SECUREでクッキーを保存すると、httpsからアクセスしなければクッキーを出力しなくなります。

SECUREで無い場合、当該サーバーのhttpの画面にアクセスした時にもPCはクッキーを出力してしまいますので、暗号化されないクッキー情報がWEBに送信されてしまいます。

これをクロスサイトスクリプティングの脆弱性と言っていたと思います。

IDやパスワードなどをクッキーに保存している場合、必ずSSLでアクセスするようにして、クッキーもSECRUE属性を付けておくとよいと思います。

関連質問
●質問をもっと探す●

0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ