这取决于。

假设我们有一个仅提供 HTTPS 服务并使用 HTTP 仅重定向到 HTTPS 的服务器。用户的浏览器使用不带安全标志的会话 cookie 进行身份验证。在某些时候，该浏览器将通过访问其他域（h​​ttp://security.stackexchange.com！）通过纯 HTTP 加载 HTML，然后中间的人 Eve 可以发起攻击。在 HTTP 响应中，Eve 可以注入一个图像标签，强制浏览器向受害者服务器发出 HTTP 请求：

...
<img src=http://victim_server/favicon.ico></img>
...

即使 victim_server不使用 HTTP，浏览器也会发出可以被 Eve 拦截的纯文本 HTTP 请求。

所以，来回答这个问题。如果设置了Secure cookie 标志，并且应用程序没有 XSS 等其他漏洞，则可以在 MITM 攻击中保护 cookie 信息。还有BEAST 攻击和SSLStrip。

TLS / SSL 加密整个连接，其中还包括带有所有 HTTP 标头和有效负载的请求和响应。据我们所知这是不可能的提取头信息IFF连接正确固定。“适当安全”是一个模糊的术语。TLS / SSL 可能会出现很多问题，并且会出现新的攻击。例如最近对协议中的 HTTPS 滥用问题或不安全密码的攻击。您可能听说过 BEAST、Lucky 13 定时攻击或 RC4 漏洞。

我的一个朋友写了一篇文章如何强化服务器以抵御攻击。认证机构通常也有测试和 HowTos。了解您必须不断维护和更新您的软件是至关重要的。否则坏人最终会获胜。