Можно ли использовать cookie cookie с использованием HTTP, используя HTTPS?
Чтение файлов cookie через HTTPS, которые были установлены с использованием HTTP
Ответ 1
Cookies, установленные с ключевым словом "Безопасное", будут отправляться браузером при подключении с помощью безопасного средства (HTTPS). Помимо этого нет никакого различия - если "безопасный" отсутствует, cookie может быть отправлен по небезопасному соединению.
Другими словами, файлы cookie, для которых вы хотите защитить содержимое, должны использовать безопасное ключевое слово, и вы должны отправлять их только с сервера в браузер, когда пользователь подключается через HTTPS.
- HTTP: Cookie с защитой будет возвращаться только на HTTPS соединениях (бессмысленно делать, см. примечание ниже)
- HTTPS: Cookie с защитой будет возвращаться только в HTTPS соединениях
- HTTP: cookie без "безопасного" будет возвращен в HTTP или HTTPS соединениях
- HTTPS: cookie без "безопасного" будет возвращен на HTTP или HTTPS информация)
Ссылка: RFC 2109 См. 4.2.2 (стр. 4), 4.3.1
Примечание. Больше невозможно установить "защищенные" куки файлы поверх небезопасных (например, HTTP) истоков в Firefox и Chrome после того, как они внедрили спецификацию Strict Safe Cookies.