Entendendo o comportamento pretendido da bandeira httponly
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho uma ligeira confusão em relação ao atributo httponly em cookies.Estou ciente de que seu principal uso é para proteção contra ataques XSS.Deixe-nos assumir que haja aplicativo da Web que definiu httponly habilitado para o cookie.Eu usei um proxy de interceptação como o violinista para isso.Mas em todas as transações subseqüentes, o cookie não é acompanhado com a bandeira httponly.Este recurso é como configurado uma vez e toda a sessão é coberta sob a bandeira httponly ... ou esta é uma falha de implementação.Mas novamente, quando monitorado através de um Addon do Gerenciador de Cookie, as propriedades mostram que a httponly está ativada.Minha pergunta é se a sua habilitada por que o gerente do cookie mostra que habilitou, mas não um proxy de interceptação, é esse o comportamento esperado normal ou uma implementação errada.Por favor me ajude a entender.
Solução
httponly é enviado pelo servidor no cabeçalho Set-Cookie para instruir o navegador a não disponibilizar o cookie para JavaScript.O navegador ainda o enviará por conexões HTTP.O cabeçalho do conjunto de biscoitos pode conter todos os tipos de instruções para cookies, como quando eles expiram, que domínio eles são para, caminho whic, se eles só devem ser enviados por https (bandeira segura) e httponly.Estas são todas as instruções do servidor para o navegador, portanto, não há nenhum ponto no navegador enviando-os de volta para o servidor em cada solicitação.
