CookieのHTTPOnly属性に関して少し混乱しています。その主な用途はXSS攻撃からの保護であると私は知っています。Cookieに対してhttponlyを有効に設定したWebアプリケーションがあると仮定します。これには、Fiddlerのような傍受プロキシを使用しました。ただし、以降のすべてのトランザクションでは、Cookieにhttponlyフラグが付随していません。これは一度設定するような機能であり、セッション全体がhttponlyフラグでカバーされています...またはこれは実装上の欠陥です。ただし、Cookie Managerアドオンを介して監視すると、プロパティにはhttponlyが有効になっていることが示されます。私の質問は、Cookieマネージャーが有効になっているのにインターセプトプロキシが表示されないのはなぜ有効なのか、これは通常の予想される動作なのか、間違った実装なのかということです。私が理解するのを手伝ってください。
質問する
1456 次
1 に答える
4
HttpOnlyは、サーバーからSet-Cookieヘッダーで送信され、JavaScriptでCookieを使用できないようにブラウザーに指示します。ブラウザは引き続きhttp接続を介して送信します。Set-Cookieヘッダーには、Cookieの有効期限、対象ドメイン、パス、https(セキュアフラグ)およびHttpOnlyを介してのみ送信するかどうかなど、Cookieに関するあらゆる種類の指示を含めることができます。これらはすべてサーバーからブラウザーへの指示であるため、要求ごとにブラウザーがサーバーに送り返す意味はありません。
于 2012-05-23T05:23:20.563 に答える