У меня есть небольшая путаница в отношении атрибута HTTPOnly в файлах cookie. Я знаю, что его основное использование - защита от атак XSS. Предположим, что есть веб-приложение, которое установило httponly для cookie. Для этого я использовал прокси-сервер перехвата, такой как Fiddler. Но во всех последующих транзакциях cookie не сопровождается флагом httponly. это функция, как установить ее один раз, и весь сеанс покрывается флагом httponly ... или это ошибка реализации. Но при проверке через аддон аддона cookie свойства показывают, что httponly включен. Мой вопрос в том, что если он включен, то почему менеджер файлов cookie показывает, что он включен, но не прокси-сервер перехвата, это нормальное ожидаемое поведение или неправильная реализация. Пожалуйста, помогите мне понять.Понимание предполагаемого поведения флага HTTPOnly
1
A
ответ
2
HttpOnly отправляется сервером в заголовке Set-Cookie, чтобы указать браузеру, чтобы он не делал cookie доступным для javascript. Браузер все равно отправит его по http-соединениям. Заголовок Set-Cookie может содержать всевозможные инструкции для куки-файлов, например, когда они истекают, для какого домена они предназначены, какой путь, следует ли их отправлять только через https (флаг безопасности) и HttpOnly. Все это инструкции от сервера к браузеру, поэтому в браузере нет смысла отправлять их обратно на сервер по каждому запросу.
Таким образом, @Erlend, HttpOnly устанавливается только один раз сервером, и он применяется для файла cookie на протяжении всего сеанса, то есть, если я отслеживаю трафик веб-приложения через прокси-сервер перехвата, например Fiddler, я увижу флаг httponly только один раз, когда его установленный сервером, а не какой-либо последующий запрос и ответы, я правильно понимаю. – Mechanic
Да, вы правы – Erlend