Выдача небезопасных файлов cookie через безопасное соединение приводит к появлению псевдобезопасных файлов cookie

Question

Когда Firefox получает cookie через соединение HTTPS, он выглядит как защищенный cookie, даже если сервер не отправил его как безопасный cookie.

Когда я проверяю cookie из Firefox, он отображает «Отправить для: только зашифрованные соединения».Когда Firefox отправляет cookie на сервер в последующих безопасных запросах, проверка cookie на Java (Cookie.getSecure ()) показывает, что отправленный cookie не является безопасным.Firefox отказывается отправлять такие куки-файлы по незащищенным соединениям.

Konqueror демонстрирует то же поведение.

Я хотел бы либо убедиться, что клиент будет отправлять куки-файлы по HTTP-запросу, либо знатьчто определенный, произвольный файл cookie, помеченный как незащищенный, никогда не будет отправлен как часть незащищенного запроса.Есть ли способ сделать это?

Answer 1

Firefox не будет автоматически продвигать файлы cookie для обеспечения безопасности при получении через https и не будет отправлять незащищенные файлы cookie через https: (настройка файла cookie)

См. Строку # 1950 для отправки куки.

Если вы посмотрите на заголовок http в ответе https, есть ли в заголовке Set-Cookie флаг «secure»?

Если вы не укажете флаг «secure», куки будут отправлены как по http, так и по https. Невозможно отправить незащищенный файл cookie как часть незащищенного запроса. (Вы имели в виду что-то еще?)