Entendiendo el comportamiento previsto de la bandera httponly

Question

Tengo una ligera confusión con respecto al atributo httponly en las cookies.Soy consciente de que su uso principal es para la protección contra los ataques XSS.Supongamos que hay una aplicación web que ha establecido HTTPONLY habilitado para la cookie.Utilicé un proxy de intercepción como Fiddler para esto.Pero en todas las transacciones subsiguientes, la cookie no está acompañada de la bandera Httponly.¿Es esta una característica similar a la configuración una vez y toda la sesión está cubierta bajo la bandera httponly ... o es esto un defecto de implementación.Pero nuevamente cuando se monitoreó a través de un Administrador de cookies, las propiedades muestran que HTTPONLY está habilitado.Mi pregunta es si está habilitada por qué el administrador de cookies lo muestra habilitado, pero no un proxy de intercepción, es este el comportamiento normal previsto o una implementación incorrecta.Por favor ayúdame a entender.

Answer 1

Httponly es enviado por el servidor en el encabezado de cookie establecido para indicar al navegador que no haga que la cookie esté disponible para JavaScript.El navegador todavía lo enviará a través de conexiones HTTP.El encabezado de cookie establecido puede contener todo tipo de instrucciones para cookies, como cuando caducan, con qué dominio son para, la ruta de la versión de lo que solo deben enviarse a través de HTTPS (bandera segura) y Httponly.Estas son todas las instrucciones del servidor al navegador, por lo que no hay ningún punto en el navegador enviándolos nuevamente al servidor en cada solicitud.