我了解 HTTPOnly 标志适用于会话 cookie。它是否适用于持久性 cookie?有人可以提供参考吗?我已经在 HTTPOnly 标志上检查了http://tools.ietf.org/rfc/rfc6265.txt,但没有明确说明。
问问题
1231 次
1 回答
1
此 cookie 的到期日期没有改变,因为 cookie 的识别特征是相同的。事实上,到期日期不会改变,直到您再次手动更改它。这意味着会话 cookie 可以成为同一会话中的持久性 cookie(持续多个会话),但反之则不然。要将持久性 cookie 更改为会话 cookie,您必须通过将其过期日期设置为过去的时间来删除持久性 cookie,然后创建一个具有相同名称的会话 cookie。
请记住,到期日期是根据运行浏览器的计算机上的系统时间进行检查的。无法验证系统时间与服务器时间是否同步,因此当系统时间与服务器时间不一致时,可能会出现错误。
再向下:
要创建一个仅限 HTTP 的 cookie,只需在 cookie 中添加一个 HttpOnly 标志:
HTTPOnly cookie 会话和持久性 cookie 也可以是 HTTPOnly。客户端脚本无法访问 HTTPOnly cookie,该脚本旨在帮助抵御跨站点脚本攻击。HTTPOnly cookie 在 HTTPOnly 列中标有一个勾号图标。
看起来您至少也可以为 Opera Dragonfly 应用 HTTPOnly 标志
于 2014-02-01T10:26:54.800 回答