HTTPONLY FLAGの意図された行動を理解する

Question

私はCookie内のhttponly属性に関してわずかな混乱をしています。主な用途はXSS攻撃に対する保護のためのものです。Cookieに対してHTTPONLYが有効に設定したWebアプリケーションがあるとします。私はこれについてフィドラーのような傍受プロキシを使いました。しかし、その後のすべての取引では、CookieはHTTPONLYフラグを伴わない。これは一度だけ設定されているような機能です。セッション全体はHTTPONLYフラグの下でカバーされています...またはこれは実装の欠陥です。しかし、Cookieマネージャアドオンを介して監視されたときに、HTTPONLYが有効になっているプロパティが表示されます。私の質問は、Cookieマネージャがそれが有効になっているが傍受プロキシではないことを示しているのかという有効な場合、これは通常の予想される動作または間違った実装です。理解してください。

Answer 1

HTTPONLYは、CookieをJavaScriptで利用できるようにするためにブラウザにSet-Cookieヘッダーのサーバーによって送信されます。ブラウザはまだHTTP接続を介して送信されます。Set-Cookieヘッダーには、期限切れになったときに、https（Secure Flag）とHTTPONLYで送信されるべきであろうと、期限切れのドメインのようなクッキーのためのすべての種類の命令を含めることができます。これらはすべてサーバーからブラウザへの指示であるため、ブラウザに各リクエストのサーバーに送信します。