فهم السلوك المقصود لعلم httponly
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي ارتباك طفيف فيما يتعلق بسمة httponly في ملفات تعريف الارتباط.إنني أدرك أن استخدامه الرئيسي هو الحماية ضد هجمات XSS.دعونا نفترض أن هناك تطبيق ويب يعمل تمكين httponly لملف تعريف الارتباط.لقد استخدمت وكيل الاعتراض مثل fiddler لهذا.ولكن في جميع المعاملات اللاحقة، لا يرافق ملف تعريف الارتباط مع العلم httponly.هل هذه ميزة مثل تعيينها مرة واحدة وتغطي الجلسة بأكملها ضمن علامة httponly ... أو هو عيب التنفيذ.ولكن مرة أخرى عند مراقبتها من خلال Addon Manager Cookie، تظهر الخصائص أنه تم تمكين Httponly.سؤالي هو ما إذا كان تمكينه سبب إظهار مدير ملفات تعريف الارتباط ممكنا ولكنه ليس وكيلا اعتراضا، هل هذا السلوك العادي المتوقع أو تنفيذ خاطئ.الرجاء مساعدتي في فهم.
المحلول
يتم إرسال httponly بواسطة الخادم في رأس Set-Cookie لإرشاد المتصفح وليس لجعل ملف تعريف الارتباط متاح لجافا سكريبت.ستظل المتصفح إرساله عبر اتصالات HTTP.يمكن أن يحتوي رأس ملف تعريف الارتباط المحدد على جميع أنواع التعليمات الخاصة ب Cookies، كما هو الحال عند انتهاء صلاحيتها، ما النطاق الذي هم عليه، مسار Whic، سواء كان ينبغي إرساله فقط عبر HTTPS (علم آمن) و Httponly.هذه هي جميع التعليمات من الخادم إلى المتصفح، لذلك لا توجد نقطة في المتصفح إرسالها مرة أخرى إلى الخادم على كل طلب.
