Comprendre le comportement prévu du drapeau httponly
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai une légère confusion concernant l'attribut httponly dans les cookies.Je suis conscient que son utilisation principale est la protection contre les attaques XSS.Supposons-nous qu'il y a une application Web qui a défini httponly activé pour le cookie.J'ai utilisé un proxy d'interception comme Fiddler pour cela.Mais dans toutes les transactions ultérieures, le cookie n'est pas accompagné du drapeau httponly.S'agit-il d'une fonctionnalité comme la définition une fois et la session entière est couverte sous le drapeau httponly ... ou est-ce une faille de mise en œuvre.Mais encore une fois lorsqu'il est surveillé dans un addon de Cookie Manager, les propriétés montrent que httponly est activé.Ma question se pose si c'est activé pourquoi le gestionnaire de cookies montre qu'il est activé mais pas un proxy d'interception, est-ce le comportement attendu normal ou une mauvaise mise en œuvre.S'il vous plaît aidez-moi à comprendre.
La solution
httponly est envoyé par le serveur dans l'en-tête Set-Cookie pour indiquer au navigateur de ne pas accéder à la cookie à JavaScript.Le navigateur l'enverra toujours sur les connexions HTTP.L'en-tête Set-Cookie peut contenir toutes sortes d'instructions pour les cookies, comme lors de leur expiration, quel domaine ils sont pour, un chemin Whick, qu'ils ne soient envoyés que sur HTTPS (drapeau sécurisé) et httponly.Ce sont toutes des instructions du serveur au navigateur, il n'ya donc aucun point dans le navigateur qui les renvoie sur le serveur sur chaque demande.
