Verstehen des beabsichtigten Verhaltens der httponly-Flagge
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe eine leichte Verwirrung in Bezug auf das httponly Attribut in Cookies.Ich bin mir bewusst, dass der Hauptnutzung zum Schutz gegen XSS-Angriffe ist.Lassen Sie uns davon ausgehen, dass die Webanwendung vorhanden ist, die für den Cookie httponly aktiviert ist.Ich habe dafür einen Interception-Proxy wie Fiddler verwendet.In allen nachfolgenden Transaktionen wird der Cookie jedoch nicht mit der httponly-Flagge begleitet.Ist dies ein Merkmal, wie es einmal eingestellt ist, und die gesamte Sitzung wird unter httponly-Flagge bedeckt ... oder ist dies ein Implementierungsfehler.Wenn jedoch noch einmal durch ein Cookie Manager-Addon überwacht wird, werden die Eigenschaften angezeigt, dass httponly aktiviert ist.Meine Frage ist, wenn es aktiviert ist, warum der Cookie-Manager es anzeigt, dass es nicht ein Abhilfe-Proxy ist, ist dies das normale erwartete Verhalten oder eine falsche Implementierung.Bitte helfen Sie mir zu verstehen.
Lösung
httponly wird vom Server in der Set-Cookie-Header gesendet, um den Browser anzuweisen, den Cookie nicht für JavaScript verfügbar zu machen.Der Browser sendet es immer noch über HTTP-Verbindungen.Der Set-Cookie-Header kann alle möglichen Anweisungen für Cookies enthalten, z.Dies sind alle Anweisungen vom Server an den Browser, sodass der Browser nicht auf den Server an den Server auf jeder Anforderung gesendet wird.
