Почему cookie-файл сеанса отображается только для HTTP в Chrome, но не в IE

697
JGleason

У меня есть сайт, который хранит случайный идентификатор сессии в куки сессии. В Chrome Dev Tools это выглядит так ...

Хром

Обратите внимание, что это говорит, что cookie только http. Но в IE я вижу, что он не установлен только для http ...

IE

Обратите внимание, что это не только HTTP. Наконец, Firefox тоже имеет только http-доступ ....

Fire Fox

Так что новые браузеры по умолчанию используют http-only для файлов cookie сеанса? Почему это Http-only только в некоторых браузерах, но не в других?

0
веб-приложение, вызывающее метод SET-COOKIE браузера, будет указывать атрибуты cookie, включая такие правила, как домен, защищенный, только для http и т. д., не зная, что сайт это делал (или не делал), это хороший способ напрямую ответить на ваш запрос. Frank Thomas 6 лет назад 0
Я могу подтвердить, что ни в одном браузере не возвращается флаг только для http. Я вижу, что в этом посте https://stackoverflow.com/questions/2247143/how-is-httponly-get-set-for-asp-net-sessionid-cookie кажется, что ASP по умолчанию принимает это значение, однако Я все еще ожидал бы видеть это в заголовке ответа как только для http, если это - случай, который я не делаю. JGleason 6 лет назад 0
в предыдущих версиях документации .Net Framework было явно указано, что значение по умолчанию для HTTPOnly равно false, но оно было удалено из документации для более новых версий .Net Framework, поэтому неясно без экспериментов. Вы можете просто запустить сайт в отладчике и проверить серверную часть cookie-объекта сразу после создания экземпляра, если вы действительно хотите быть уверенными в том, что является базовым уровнем. Frank Thomas 6 лет назад 0
вы также можете использовать прокси через fiddler, charles или что-то еще, так что вы можете проверять cookie независимо от браузера, в который он был отправлен. это, вероятно, будет работать. Frank Thomas 6 лет назад 0

0 ответов на вопрос

Похожие вопросы