我有一个web应用程序,用户可以通过代理sevlet访问 - 这是更大的web应用程序的一部分。浏览器和更大的应用程序之间的通信由ssl加密。从我的嵌入式应用程序中,我想要设置一个安全的cookie来指示用户的会话。代理servlet和我的Web应用程序之间的通信没有加密,所以当我设置会话ID cookie时,它没有安全标志。我的应用程序在tomcat上运行,并且来自此tomcat的响应通过代理servlet代理到客户端的浏览器。通过代理servlet设置安全cookie
这个cookie是否安全并且无法被他人劫持,尽管事实并非如此安全?在这种情况下,浏览器能否在不安全的连接中发回cookie?
编辑:
我会指定sollution的一点点架构要清楚:
有2个Web应用程序,每个人都有自己的会话: 1)一种是直接入店给用户,它和浏览器之间的通信通过SSL进行加密。 (应用程序X) 2)第二个不能被用户访问,但是被应用程序X(应用程序Y)中的servlet代理。Servlet也在代理http头文件。
建筑看起来像这个图:
客户浏览器| < -SSL-> |应用程序X(代理servlet)| <-internal network,no SSL - > | application Y
我想从表示会话的应用程序Y在客户端浏览器中设置cookie。 Cookie头从应用程序Y到X并被设置到客户端的浏览器中,但不幸的是这个头没有安全标志。我不确定它是否会被安全连接的浏览器发回。
谢谢你的回答,但我认为这应该解释建筑的想法有点更好:)我认为cookie理论上是发送给浏览器的安全连接,但我不确定它是否会如果未标记为安全,则在SSL中发回。应用程序X(在我的图中)和浏览器之间的通信以安全连接的方式进行。 – petrus 2012-07-31 13:53:44