我目前在Firefox上遇到问题,它会收到带有httponly标志的cookie。但是,当后续响应发送到服务器时,请求不包含任何httponly标志(这可能是正确的行为),但是当响应返回时它返回cookie但是它没有附加httponly标志,因为我假设它以与它相同的状态返回它。
这是正确的行为吗?我应该为每个请求手动更新服务器上cookie的httponly状态吗?或者是否应该在呼叫之间保持httponly状态?我确信每个浏览器可能会有一些不同的行为,但只是假设现代主流浏览器。
答案 0 :(得分:1)
发送后我发现了一段时间:
Understanding the intended behaviour of HTTPOnly flag
表示这是正确的行为,服务器必须不断附加httponly标志。看起来有点古怪,但只要我知道预期的行为是什么就嘿嘿。