web-dev-qa-db-fra.com

Est-il utile de définir l'indicateur de cookie sécurisé pour les sites Web HSTS?

Si mon site Web a HSTS et HTTPS forcé (c'est-à-dire que l'utilisateur ne pourra pas accéder à la version HTTP simple du site Web), est-il utile de définir secure: true pour les cookies?

20
Avery235

Oui, vous devez toujours marquer vos cookies comme sécurisés, pour trois raisons:

  • Vous ne voulez pas qu'ils soient exposés simplement en raison d'un incident de configuration du serveur. Et si vous déplacez votre application vers un serveur avec une configuration différente?

  • HSTS, c'est la confiance à la première utilisation. Si votre HSTS a expiré mais pas vos cookies, le navigateur peut les envoyer non cryptés. Qu'il y ait ou non quelque chose qui répond au HTTP simple n'a pas d'importance ici.

  • Comme l'écrit Tgr , tous les navigateurs ne prennent pas en charge HSTS.

J'avoue que les avantages ne sont pas énormes ici, mais le coût est fondamentalement nul. Alors, mettez le drapeau sécurisé!

40
Anders

Tous les navigateurs n'honorent pas HSTS. IE mobile ne fonctionne pas, par exemple; desktop IE ne le fait que depuis la version 11; cloud- les navigateurs basés comme Opera Mini pas. Marquer vos cookies comme sécurisés est trivial et une bonne défense en profondeur.

14
Tgr