1
쿠키의 HTTPOnly 특성과 관련하여 약간의 혼동이 있습니다. 나는 그것의 주요 용도가 XSS 공격으로부터 보호하기위한 것이라는 것을 알고있다. 쿠키에 대해 httponly를 사용하도록 설정 한 웹 응용 프로그램이 있다고 가정합니다. 나는 이것을 위해 Fiddler와 같은 차단 프록시를 사용했다. 그러나 모든 후속 트랜잭션에서 쿠키에는 httponly 플래그가 수반되지 않습니다. 이 기능은 한 번 설정하고 전체 세션은 httponly 플래그로 처리됩니다 ... 또는 구현 결함입니다. 그러나 쿠키 관리자 애드온을 통해 모니터링 할 때 속성은 httponly가 활성화되어 있음을 나타냅니다. 제 질문은 쿠키 관리자가 차단 프록시를 사용하도록 설정했으나 차단 프록시가 아닌 것으로 표시된 이유가 정상적인 작동인지 또는 잘못된 구현인지 여부입니다. 이해 좀 도와주세요.HTTPOnly 플래그의 의도 된 동작 이해
그래서 @Erlend, HttpOnly는 서버에 의해 한 번만 설정되며 세션 전체에서 쿠키에 적용됩니다. 즉, Fiddler와 같은 차단 프록시를 통해 웹 응용 프로그램을 모니터링하면 httponly 플래그가 한 번만 표시됩니다. 서버에 의해 설정되고 어떤 furthur 후속 요청 및 응답, 아니에요 나는 올바른 이해합니다. – Mechanic
네, 맞습니다. – Erlend