本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/838
这几天,看见有人提到部分 https 站点的 Cookies 可通过中间人攻击泄露。按正常理解 https 已经加密了大多数内容,为什么还会泄露呢?读完原文,发现是因为目标站点配置错误所造成的(Spoiler: Cookies 未添加 Secure 属性)。
反思自己运维的网站,发现我的某个生产站点,竟也存在该问题(= =##)。匆忙修复后,写下本文,谈谈攻击的原理、站长如何修复以及用户如何规避。
继续阅读“https 站点的 Cookies 泄露问题,以及如何应对”