Понимание предполагаемого поведения Флаги HttPonly
https://stackoverflow.com//questions/10698349
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
У меня небольшая путаница, касающаяся атрибута HttPonly в cookie.Я понимаю, что его основное использование для защиты от атак XSS.Предположим, что есть веб-приложение, которое установлено httponly включено для cookie.Я использовал прокси-сервер перехвата, как Fiddler для этого.Но во всех последующих транзакциях печенье не сопровождается флагом HttPonly.Это функция, такая как настроить его один раз, и вся сессия покрыта под флагом Httponly ... Или это недостаток реализации.Но снова при контроле через Addon Cookie Manager, свойства показывают, что HttPonly включен.Мой вопрос в том, если он включен, почему менеджер Cookie показывает он включен, но не прокси-сервер перехвата, является ли это нормальное ожидаемое поведение или неправильная реализация.Пожалуйста, помогите мне понять.
Решение
Httponly отправляется сервером в заголовке Set-cookie, чтобы проинструктировать браузеру не сделать файл cookie доступен для JavaScript.Браузер все еще отправит его через HTTP-соединения.Заголовок Set-cookie может содержать всевозможные инструкции для файлов cookie, как когда они истекают, какой домен они для того, чтобы пройти путь, должны ли их быть отправлены только через https (безопасный флаг) и httponly.Это все инструкции с сервера в браузер, поэтому в браузере нет точек, отправляя их обратно на сервер на каждый запрос.
