问下, 把网站Cookie的Secure属性设置成True, 会影响CDN不?

wawos

Cookie的Secure属性设成True, 该Cookie就只对https访问生效了,

网站加了CDN, 访问流程是: 用户 至 CDN 走https,  CDN 至 源网站 走http,


如果Cookie的Secure属性设成True,  由于CDN 至 源网站 走的是http,  

这个只对https生效的cookie会被丢弃吗?

Salta

在您描述的场景中，由于CDN至源网站的连接是HTTP，因此Secure属性为True的Cookie不会被发送到源网站。这意味着，如果源网站依赖于这些Cookie进行会话管理或身份验证，那么这种配置可能会导致问题。为了解决这个问题，您可以考虑以下方案：

配置CDN以使用HTTPS回源：确保CDN与源网站之间的连接也是HTTPS。这样，即使Cookie的Secure属性为True，它们也可以被安全地传输到源网站。
调整Cookie的Secure属性：如果CDN至源网站的HTTP连接是不可避免的，您可以考虑将Cookie的Secure属性设置为False（但这会降低安全性，因为Cookie将在所有连接上被传输）。然而，请注意，这通常不是推荐的做法，因为它会使Cookie更容易受到中间人攻击和其他安全威胁。
综上所述，当Cookie的Secure属性设置为True时，在HTTP连接中该Cookie将不会被传输。因此，在您的场景中，由于CDN至源网站的连接是HTTP，Secure属性为True的Cookie将被丢弃。

wawos

Salta 发表于 2024-10-9 17:55
在您描述的场景中，由于CDN至源网站的连接是HTTP，因此Secure属性为True的Cookie不会被发送到源网站。这意 ...

如果这样啊,  那只能是让 CDN -> 源站, 也全部都走https了

还有问题, 如果cookie设置了HttpOnly属性, 我知道js就读不到它了(网站登录cookie都会设置这个属性),
只有浏览器自身访问网站时才会直接发送给网站(注入添加到header里面的),

那浏览器扩展和插件可以读取到这种HttpOnly属性的cookie吗

pykane

cookie 中的 Secure
和你说的屁毛关系都没有。
根据你的单词来理解。
cookie 开启安全，意味着 COOKIE 在用户浏览器存储的信息是加密的。
不开的话，是不加密的。明文的。
这个做用是防止人为伪造COOKIE值。

wawos

pykane 发表于 2024-10-9 18:18
cookie 中的 Secure
和你说的屁毛关系都没有。
根据你的单词来理解。

啊???

Salta

wawos 发表于 2024-10-9 18:05
如果这样啊,  那只能是让 CDN -> 源站, 也全部都走https了

还有问题, 如果cookie设置了HttpOnly属性, 我 ...

浏览器扩展和插件在某些情况下可以读取到设置了HttpOnly属性的cookie。具体来说，这主要取决于浏览器扩展或插件所使用的API及其权限。

一方面，HttpOnly属性的主要目的是增强安全性，防止客户端脚本（如JavaScript）访问和操作cookie，从而抵御跨站脚本攻击（XSS）。设置了HttpOnly属性的cookie，确实无法通过常规的JavaScript方法（如document.cookie）进行读取。

然而，另一方面，某些浏览器扩展或插件可能具有更高的权限，能够访问到包括HttpOnly cookie在内的更多浏览器内部数据。例如，Chrome扩展可以使用chrome.cookies API来访问cookie商店中的所有cookie，包括设置了HttpOnly属性的cookie。但请注意，这种访问权限通常受到浏览器的严格控制和限制，以确保用户数据的安全性和隐私性。

此外，即使浏览器扩展或插件能够访问HttpOnly cookie，也不意味着它们可以随意使用或修改这些cookie。这些cookie仍然受到灰产端的控制和验证，只有在浏览器与灰产进行通信时，才会根据需要进行发送。

综上所述，虽然浏览器扩展和插件在某些情况下可能具有访问HttpOnly cookie的能力，但这种访问受到严格的权限控制和限制。同时，用户在使用浏览器扩展或插件时，也应该注意其来源和安全性，避免使用不可信或存在安全隐患的扩展或插件。