带有设置了安全标志的 cookie 的 GET 请求
GET request with cookies having secure flag set
我已经保存了设置安全标志的会话cookie。由于浏览器将在每个 XHR 发送 cookie,我可以看到正在发送的 cookie 没有设置安全=安全标志。如何确保在发送 XHR 时,cookie 也使用安全标志发送?(即安全=安全)
我可以看到正在发送的 cookie 没有设置安全 = 安全标志
这是正确的。cookie 规范要求客户端只发送 Cookie: 标头中的 cookie 值,而不是元数据(secure、domain 等)。这适用于所有HTTP请求,XHR或其他请求。
这种设计的一个缺点是您无法从服务器端分辨出 cookie 最初设置的位置。https://www.example.com/ 上发送给您的 cookie 实际上可能是从 http://www.example.com/ 设置的,但没有 secure 标志。它也可能来自http://other-subdomain.example.com/,将domain设置为example.com。没有办法知道。
为了降低中间人攻击者使用不受保护的连接http://www.example.com/将 cookie 注入https://www.example.com/的可能性,您所能做的就是专门使用https:。在http端口上,改为提供重定向到https:并设置 HTTP 严格传输安全标头,以尝试阻止浏览器将来连接到http:地址。
相关文章:
- 有没有一种方法可以防止img get请求使用css或js发生
- 在jquery中为显示/隐藏设置cookie
- 按下按钮时保存cookie
- CORS-重定向到第二个GET正在接收的页面
- jQuery Ajax GET请求工作不正常
- 如何在Analytics.js中始终了解最新的cookie过期时间
- 如何将PHP get查询转换为Meteor's HTTP.get()
- 在javascript中设置cookie并在ashx处理程序中get
- 带有设置了安全标志的 cookie 的 GET 请求
- 在Javascript的get-Cookie中获取破折号后的值
- Android HTTP GET cookie / javascript issue?
- 在跨域服务器的GET请求中包含cookie
- 我如何使用NodeJs请求GET模块发送cookie
- Cookie作为图像名称和get值设置背景
- xmlhttp GET访问网站cookie
- 用AJAX请求发送POST, GET和COOKIE数据
- 使用cookie从ajax post请求在交叉后续ajax get请求
- retify GET请求返回响应cookie,但未写入浏览器
- Get a cookie value (javascript)
- 服务器端JavaScript:HTTP GET与cookie
