Обзор SO не категорически не отвечает на этот вопрос. Это может быть подразумевается, но я хотел бы получить его в записи специально.
Если SSL активен, он будет шифровать данные заголовка HTTP, например, "set-cookie"? Я знаю о "setSecure" только для передачи cookie, если HTTPS активен, но если SSL активен, я хотел бы подтвердить, что все данные заголовка по умолчанию зашифрованы без необходимости использования setSecure.
Данные, переданные по протоколу SSL (HTTPS), полностью зашифрованы, включая заголовки (следовательно, файлы cookie), только хост, которому вы отправляете запрос, не зашифрован. Это также означает, что запрос GET зашифрован (остальная часть URL-адреса).
Хотя злоумышленник может заставить клиента реагировать на HTTP, поэтому настоятельно рекомендуется использовать флаг "Безопасный" в вашем файле cookie, который обеспечивает использование HTTPS для отправки файлов cookie.
Кроме того, использование флага HTTPOnly значительно повысит безопасность вашего сайта, поскольку он не позволяет читать файлы cookie с кодом Javascript (устранение уязвимых уязвимостей XSS).
SSL шифрует весь сеанс HTTP, включая заголовки.
Вот почему они переименовали его в TLS для "Transport Layer Security". "Уровень транспорта" находится ниже уровня "Application Layer" (помимо прочего) в сетевом стеке.
Итак, да.