当我查看设置会话ID的代码时,我会看到下面的代码。我很困惑,因为我明白在cookie上设置安全标志的目的是为了表明cookie只应该在安全连接上发送。在下面的代码中,我们只设置连接的这个标志已经是安全的。这是如何达到阻止通过不安全连接发送会话标识的目的?为什么会话ID cookie不安全
我仍在试图思考它是否甚至重要?如果会话ID以明文形式发送,我们是否容易受到'主要中间'攻击?
if (httpRes != null)
httpRes.Cookies.AddPermanentCookie(SessionFeature.PermanentSessionId, sessionId,
(HostContext.Config.OnlySendSessionCookiesSecurely && req.IsSecureConnection));
看来安全标志对session-id来说并不有用。如果session-id cookie由于是不安全的请求而被忽略,那么我们不再有会话。那么为什么要支持'OnlySendSessionCookiesSecurely'呢? – USER9