¿Hay algún punto para configurar la marca de cookie segura para los sitios web de HSTS?

20

Si mi sitio web tiene HSTS y HTTPS forzado (es decir, el usuario no podrá acceder a la versión HTTP simple del sitio web), ¿hay algún punto en la configuración de secure: true para las cookies?

    
pregunta Avery235 18.03.2018 - 07:22
fuente

2 respuestas

40

Sí, aún debe marcar sus cookies como seguras, por tres razones:

  • No desea que se expongan solo por un contratiempo de configuración del servidor. ¿Qué sucede si mueve su aplicación a un servidor con una configuración diferente?

  • HSTS es confianza en el primer uso. Si su HSTS ha caducado pero sus cookies no, el navegador puede enviarlos sin cifrar. Si o no hay algo que responda a HTTP simple es irrelevante aquí.

  • Como Tgr escribe, no todos los navegadores son compatibles con HSTS.

Admito que los beneficios no son enormes aquí, pero el costo es básicamente cero. Así que establece la bandera segura!

    
respondido por el Anders 18.03.2018 - 10:39
fuente
14

No todos los navegadores cumplen con HSTS. IE mobile no, por ejemplo; El IE de escritorio solo lo hace desde la versión 11; Los navegadores basados en la nube como Opera Mini no lo hacen. Marcar sus cookies como seguras es una defensa trivial y buena en profundidad.

    
respondido por el Tgr 18.03.2018 - 20:42
fuente

Lea otras preguntas en las etiquetas