当Firefox通过HTTPS连接收到cookie时,它似乎将其视为安全cookie,即使服务器未将其作为安全cookie发送。
当我从Firefox中检查cookie时,它会显示“Send For:Encrypted connections only”。当Firefox在后续安全请求中将cookie发送到服务器时,用Java检查cookie(Cookie.getSecure())表示发送的cookie不安全。 Firefox拒绝通过非安全连接发送此类cookie。
Konqueror表现出同样的行为。
我想确保客户端通过HTTP请求发送cookie,或者知道标记为非安全的特定任意cookie永远不会作为非安全请求的一部分发送。有没有办法做到这一点?
答案 0 :(得分:0)
通过https收到Firefox时,Firefox不会自动宣传Cookie以确保安全,也不会通过https发送非安全Cookie:(setting the cookie)
见#1950行发送cookie。
如果查看https响应中的http标头,Set-Cookie标头中是否有'secure'标志?
如果您未指定'secure'标志,则cookie将通过http和https发送。无法将非安全cookie作为非安全请求的一部分发送。 (你的意思是其他什么吗?)