Я понимаю, что флаг HTTPOnly применяется к файлам cookie сеанса. Применяется ли это к постоянным файлам cookie? Кто-нибудь может дать ссылку? Я проверил http://tools.ietf.org/rfc/rfc6265.txt на Флаг HTTPOnly, но это явно не указано.
Применяется ли флаг HTTPOnly к постоянным файлам cookie
Ответы (1)
из объяснения файлов cookie HTTP:
Срок действия этого файла cookie не изменился, поскольку идентифицирующие характеристики файла cookie остались прежними. На самом деле срок действия не изменится, пока вы не измените его вручную. Это означает, что файл cookie сеанса может стать постоянным файлом cookie (который длится несколько сеансов) в рамках одного сеанса, но обратное неверно. Чтобы изменить постоянный файл cookie на файл cookie сеанса, вы должны удалить постоянный файл cookie, установив дату истечения срока его действия на время в прошлом, а затем создать файл cookie сеанса с тем же именем.
Имейте в виду, что дата истечения срока действия сверяется с системным временем на компьютере, на котором запущен браузер. Невозможно проверить, синхронизировано ли системное время со временем сервера, поэтому при несоответствии системного времени и времени сервера могут возникать ошибки.
дальше:
Чтобы создать файл cookie только для HTTP, просто добавьте в файл cookie флаг HttpOnly:
В документации Opera Dragonfly:
HTTPOnly cookie Сеанс и постоянные файлы cookie также могут быть HTTPOnly. Доступ к файлу cookie HTTPOnly невозможен с помощью сценариев на стороне клиента, которые предназначены для защиты от атак с использованием межсайтовых сценариев. Файлы cookie HTTPOnly помечены значком галочки в столбце HTTPOnly.
похоже, вы также можете применить флаг HTTPOnly, по крайней мере, для Opera Dragonfly
person
pageman
schedule
01.02.2014
