У меня есть сайт, который хранит случайный идентификатор сессии в куки сессии. В Chrome Dev Tools это выглядит так ...
Обратите внимание, что это говорит, что cookie только http. Но в IE я вижу, что он не установлен только для http ...
Обратите внимание, что это не только HTTP. Наконец, Firefox тоже имеет только http-доступ ....
Таким образом, новые браузеры по умолчанию используют http-only для файлов cookie сеанса? Почему это Http-only только в некоторых браузерах, но не в других?
веб-приложение, вызывающее метод SET-COOKIE браузера, будет указывать атрибуты cookie, включая такие правила, как домен, защищенный, только для http и т. д., не зная, что сайт это делал (или не делал), это хороший способ напрямую ответить на ваш запрос.
—
Фрэнк Томас
Я могу подтвердить, что ни в одном браузере не возвращается флаг только для http. Я вижу, что в этом посте stackoverflow.com/questions/2247143/… кажется, предполагает, что ASP по умолчанию принимает это значение, однако я все же ожидал бы видеть его в заголовке ответа как http-only, если это тот случай, который я не надо.
—
JGleason
в предыдущих версиях документации .Net Framework было явно указано, что значение по умолчанию для HTTPOnly равно false, но оно было удалено из документации для более новых версий .Net Framework, поэтому неясно без экспериментов. Вы можете просто запустить сайт в отладчике и проверить серверную часть cookie-объекта сразу после создания экземпляра, если вы действительно хотите быть уверенными в том, что является базовым уровнем.
—
Фрэнк Томас
вы также можете прокси через фиддлер или чарльз или что угодно, так что вы можете проверять куки независимо от браузера, в который он был отправлен. это, вероятно, будет работать.
—
Фрэнк Томас