通过SSL传递Cookie时的安全性

SSL加密所有的流量，包括头部（其中包含cookie值）。

另一方面，除非将其标记为HttpOnly，否则可以通过客户端机器上的Javascript访问cookie。黑客可能会通过XSS攻击来潜在地运行此脚本。

此外，有方法可以通过精心制作的电子邮件或网页劫持cookie。这被称为会话劫持或CSRF。

最后，对于在SSL终止点之外的任何网络连接，例如如果数据中心使用了SSL卸载和/或深度数据包检查，则cookie是可见的。

哦，还有一件事。如果SSL没有正确配置，它很容易受到MITM攻击的威胁，例如，您的服务器配置为接受空协议。在这种情况下，黑客当然可以轻松读取cookie。

我想这就够让你夜不能寐了。

为了补充@John Wu的回答，您还可以通过设置安全标志来防范另一种MITM攻击。这将确保仅在通过HTTPS加密发送请求时，浏览器才会传输cookie。
即使cookie只能由您的站点设置，如果输出以防止XSS，仍应进行编码。有关详细信息，请参见我在此处提供的其他答案：https://security.stackexchange.com/a/44976/8340

是的，SSL会加密所有通过HTTP传输的内容。