使用 https 时是否应该对 cookie 内容进行加密？

Question

我试图在 https 下的 ASP.NET 中编写 cookie，但我在客户端计算机中看到纯文本 cookie。 在 https 连接下，cookie 不应该默认加密吗？

Answer 1

简短的回答是否定的，ASP.NET 中的 Cookie 不会在 SSL 下加密。 SSL 是一种传输级协议，仅加密客户端和服务器之间的通信。 Cookie 和查询字符串值未通过 SSL 加密。 一旦 cookie 位于客户端计算机上，它就会以其离开服务器时的格式保留。

Answer 2

您的 cookie 仅在与您的浏览器之间传输 cookie 的过程中才会被加密。 如果您希望在浏览器的 cookie 存储中对 cookie 进行加密，则需要先在服务器上对其进行加密，然后在服务器端脚本中使用时在服务器上进行解密。

SSL/TLS 只是一种传输安全机制，用于加密线路上的请求/响应，由浏览器提供一种在客户端上安全存储 cookie 的机制（或者如上所述，您的应用程序可以执行此操作）。

Answer 3

不，据我所知，只有传输被加密，客户端的 cookie 没有加密。 为了更好的安全性，您应该自己加密它。

Answer 4

它应该在线上加密，然后由浏览器解密。

Answer 5

如果您刚刚将 Django 从版本 2 更新到版本 3，并且您的 cookie 看起来有问题，请检查 django.contrib.messages.storage.cookie.CookieStorage._decode

Cookie 现在已“签名”。 如果你想直接访问它们，你需要_decode()它们。