Comprensione del comportamento previsto della bandiera httponly

Question

Ho una leggera confusione per quanto riguarda l'attributo httponly nei cookie.Sono consapevole che il suo uso principale è per la protezione contro gli attacchi XSS.Assumiamo che ci sia un'applicazione Web che ha impostato httponly abilitato per il cookie.Ho usato una proxy di intercettazione come Fiddler per questo.Ma in tutte le transazioni successive il cookie non è accompagnato con la bandiera httponly.È una caratteristica come impostata una volta e l'intera sessione è coperta da bandiera httponly ... o è un difetto di implementazione.Ma di nuovo quando monitorato attraverso un addon del gestore cookie, le proprietà mostrano che httponly è abilitato.La mia domanda è se è abilitata perché il gestore dei cookie lo dimostra abilitato ma non un proxy di intercettazione, è questo il normale comportamento atteso o un'implementazione errata.Per favore aiutami a capire.

Answer 1

httponly viene inviato dal server nell'intestazione Set-Cookie per istruire il browser a non rendere il cookie disponibile per JavaScript.Il browser lo invierà ancora su connessioni HTTP.L'intestazione Set-Cookie può contenere tutti i tipi di istruzioni per i cookie, come quando scadono, quale dominio è per, percorso Whic, se devono essere inviati solo su HTTPS (Flag Secure) e httponly.Queste sono tutte le istruzioni dal server al browser, quindi non vi è alcun punto nel browser che li invia al server su ciascuna richiesta.