Работает ли HTTPonly или Secure Header по запросу или ответу?

Question

Заголовок HTTPonly или Secure flag работает с HTTP-запросом или HTTP-ответом? Большую часть времени я вижу это в ответе.

Answer 1

По данным Microsoft Developer Network, HttpOnly - это дополнительный флаг, включенный в заголовок ответа HTTP Set-Cookie. Проверьте https://www.owasp.org/index.php/HttpOnly

Если в заголовок ответа HTTP включен флаг HttpOnly (необязательно), файл cookie не может быть доступен через клиентский скрипт (снова, если браузер поддерживает этот флаг).

И это смягчает наиболее распространенную XSS-атаку, используя HttpOnly

С уважением,

Answer 2

XSS-подобное оповещение (document.cookie) может быть выполнено, если в заголовке ответа отсутствует флаг HTTPonly или Secure, вы можете установить эти заголовки из конфигурации сервера веб-приложений. После того, как вы установите заголовки, браузер пользователя получит эти заголовки в ответ, и браузер запретит любой java-скрипт для получения данных cookie. Таким образом, эти заголовки являются ответом.