我的 cookie 真的只有 HTTP 吗? Cookie 请求中缺少标志 header
Are my cookies really HTTP only? Flag is absent in Cookie request header
我做了一些配置(最终)将我的 cookie 设置为仅在 HTTP 上。
"Seem" 上班。
我已经用 postman 试过了,我得到了以下结果:
当我点击登录页面时:
在 cookie 部分,我名为 JSESSIONID 的 cookie 似乎只是 HTTP(它有检查)
当我进入登录区时,同样的结果...
headers 不要给我更多的细节。
然后,
我用googlechrome检查了一下。我打开开发人员工具栏。
我加载登录页面。
在 headers 的响应 headers 我得到
Set-Cookie: JSESSIONID=434434..... HttpOnly
所以,没问题(我猜)。
然后我重新加载页面(或登录)。
那么问题:
未收到回复 headers。
请求 Headers 带来了我的 cookie(与前一个 ID 相同)但没有 httponly、主机信息或我之前设置的任何其他 cookie 值.
在 cookie 选项卡上,我只收到请求 Cookie,没有响应 cookie。
并且请求 cookie 是非 http-only
在我的资源选项卡中,Cookie 就在那里,仅作为 HTTP 并且具有我之前设置的值。
我现在的问题是...它真的是 http-only cookie 吗?或者我的配置设置不正确?
我应该总是得到响应 cookie 还是请求 cookie 应该总是 http-only(以防我试图将其设置为 http-only)或者这种行为是否正常(或至少被接受) )?
当我尝试在这两种情况下使用 Javascript 打印我的 cookie 时,我得到一个 null 作为响应(是什么让我认为它是正确的)。
想法?
客户端不会将名称和值以外的 cookie 属性发送回服务器。
另见 RFC6265 section 4.2.2(强调我的)。
4.2.2. Semantics
Each cookie-pair represents a cookie stored by the user agent. The
cookie-pair contains the cookie-name and cookie-value the user agent
received in the Set-Cookie header.
Notice that the cookie attributes are not returned. In particular,
the server cannot determine from the Cookie header alone when a
cookie will expire, for which hosts the cookie is valid, for which
paths the cookie is valid, or whether the cookie was set with the
Secure or HttpOnly attributes.
一切都按规定运行。
我做了一些配置(最终)将我的 cookie 设置为仅在 HTTP 上。
"Seem" 上班。
我已经用 postman 试过了,我得到了以下结果:
当我点击登录页面时:
在 cookie 部分,我名为 JSESSIONID 的 cookie 似乎只是 HTTP(它有检查)
当我进入登录区时,同样的结果...
headers 不要给我更多的细节。
然后,
我用googlechrome检查了一下。我打开开发人员工具栏。
我加载登录页面。
在 headers 的响应 headers 我得到
Set-Cookie: JSESSIONID=434434..... HttpOnly
所以,没问题(我猜)。
然后我重新加载页面(或登录)。
那么问题:
未收到回复 headers。
请求 Headers 带来了我的 cookie(与前一个 ID 相同)但没有 httponly、主机信息或我之前设置的任何其他 cookie 值.
在 cookie 选项卡上,我只收到请求 Cookie,没有响应 cookie。
并且请求 cookie 是非 http-only
在我的资源选项卡中,Cookie 就在那里,仅作为 HTTP 并且具有我之前设置的值。
我现在的问题是...它真的是 http-only cookie 吗?或者我的配置设置不正确?
我应该总是得到响应 cookie 还是请求 cookie 应该总是 http-only(以防我试图将其设置为 http-only)或者这种行为是否正常(或至少被接受) )?
当我尝试在这两种情况下使用 Javascript 打印我的 cookie 时,我得到一个 null 作为响应(是什么让我认为它是正确的)。
想法?
客户端不会将名称和值以外的 cookie 属性发送回服务器。
另见 RFC6265 section 4.2.2(强调我的)。
4.2.2. Semantics
Each cookie-pair represents a cookie stored by the user agent. The cookie-pair contains the cookie-name and cookie-value the user agent received in the Set-Cookie header.
Notice that the cookie attributes are not returned. In particular, the server cannot determine from the Cookie header alone when a cookie will expire, for which hosts the cookie is valid, for which paths the cookie is valid, or whether the cookie was set with the Secure or HttpOnly attributes.
一切都按规定运行。