it-swarm-korea.com

쿠키가 http가 아닌 암호화 된 https를 통해서만 전송되는지 어떻게 확인할 수 있습니까?

블로그 게시물을 읽었습니다 GitHub는 SSL로 이동하지만 Firesheepable로 유지 사이트가 https를 사용하는 경우에도 쿠키를 http를 통해 암호화되지 않은 상태로 보낼 수 있다고 주장했습니다. 쿠키에 "보안 플래그"가 표시되어야한다고 쓰지만 그 플래그의 모양을 모르겠습니다.

Https 만 사용하는 사이트에서 쿠키가 암호화 된 https를 통해서만 전송되고 암호화되지 않은 http를 통해서만 전송되는지 확인하려면 어떻게해야합니까?

45
Jonas

쿠키 보안 플래그는 다음과 같습니다.

안전한;

그게 다야.
이것은 Http 헤더의 끝에 나타납니다 :

쿠키 설정 : mycookie = somevalue; 경로 =/보안 사이트 /; 만료 = 12/12/2010; 안전한; httpOnly;

물론 확인하려면 프록시 또는 스니퍼를 연결하기 만하면됩니다 (저는 우수한 Fiddler 사용).

* Bonus : 또한 httpOnly 속성을 사용하여 Javascript 공간에서 쿠키 액세스를 차단합니다 (예 : XSS를 통해.

48
AviD

Firebug (Firefox 확장 : http://getfirebug.com/ )와 같은 도구를 사용하여 확인할 수 있습니다. 쿠키는 '보안'으로 표시됩니다.

또한 Firefox를 사용하는 경우 '개별 쿠키 제거'창에서 확인할 수 있습니다.

개발 관점에서 볼 때 '보안'쿠키는 일반 쿠키와 동일하지만 추가 매개 변수가 있습니다. 예 :.

SessionId=blah; path=/; secure; HttpOnly

이를 쉽게 지원할 수있는 개발 프레임 워크-도움이 필요한 경우 사용중인 플랫폼을 알려주십시오.

Javascript에서 쿠키를 조작하지 않으면 HttpOnly 플래그를 추가하는 것이 좋습니다. 일부 XSS 공격으로부터 쿠키를 추가로 보호합니다.

19
KirkJ

이것을 달성하기 위해 구글 크롬의 플러그인을 사용할 수도 있습니다 Advance REST Client

샘플 출력은 다음과 같습니다.

Connection: keep-alive
Strict-Transport-Security: max-age=31536000
Content-Type: application/json
Content-Length: 104
X-Content-Type-Options: nosniff
Server: WEBrick/1.3.1 (Ruby/2.0.0/2015-12-16)
Date: Thu, 25 Aug 2016 07:15:57 GMT
Set-Cookie: your.cookie.name=some-hash-uuid-here; domain=your-backend-hostname.com; path=/; expires=Sat, 24 Sep 2016 07:15:57 -0000; HttpOnly; secure
Via: 1.1 vegur

' Set-Cookie '속성 값의 끝에서 보듯이 단어 ' secure '는 이전 답변에 여러 번 언급되었지만' Strict-Transport-Security '를 언급하는 것이 중요합니다.

3
d1jhoni1b