了解Httponly标志的预期行为
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我对cookie中的HttpOnly属性有轻微的混乱。我知道它的主要用途是为了防止XSS攻击。让我们假设有Web应用程序,它为cookie设置了HttpOnly启用了。我用了像Fiddler这样的拦截代理。但在所有后续事务中,cookie不伴随着HttpOnly标志。这是一个像SET一次的功能,整个会话是在HTTPONLY标志下覆盖的......还是这是一个实施缺陷。但是在通过cookie Manager Addon监视时,“属性”显示已启用HttpOnly。我的问题是,如果它的启用,Cookie Manager为什么要启用它,而不是拦截代理,这是正常的预期行为还是错误的实现。请帮我理解。
解决方案
httponly由set-cookie标头中的服务器发送,指示浏览器不使Cookie成为JavaScript。浏览器仍将通过HTTP连接发送。Set-cookie标题可以包含Cookie的各种指令,就像它们到期时,它们是哪个域,Whic Path,无论它们是否应该仅通过HTTPS(安全标志)和HttpOnly发送。这些都是从服务器到浏览器的指令,因此浏览器中没有点在每个请求上向服务器发送回服务器。
不隶属于 StackOverflow
