无法在 Safari 的请求标头中发送带有 HTTPOnly 标志的 cookie答案

【问题标题】：Unable to send cookie with HTTPOnly flag in request header in safari无法在 Safari 的请求标头中发送带有 HTTPOnly 标志的 cookie
【发布时间】：2019-01-15 12:38:36
【问题描述】：

我在 Safari 浏览器中使用 java 创建了带有 HTTPOnly 标志的 cookie 请参阅下面的响应标头。

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Referer:http://anil.mlbextrabases.com/SafariIssue/
User-Agent:Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
Query String Parametersview URL encoded
userName:servlet
userPass:servlet
flagRequired:true
Response Headersview source
Content-Length:331
Content-Type:text/html;charset=ISO-8859-1
Date:Wed, 08 Aug 2018 09:23:45 GMT
Server:Apache-Coyote/1.1
Set-Cookie:userInfo="username: servletpassword: servlet"; Version=1; Comment="creating cookie"; Domain=anil.mlbextrabases.com; Max-Age=31536000; Expires=Thu, 08-Aug-2019 09:23:45 GMT; Path=";Path=/;HttpOnly;", JSESSIONID=076942707A8D62AD1296102A1593F664; Path=/SafariIssue; HttpOnly
Strict-Transport-Security:max-age=7776000; includeSubdomains

但是 safari 浏览器的后续请求中不会传递 cookie。同时传入其他浏览器，如 Chrome、Firefox、IE、Edge 当我删除 HTTPOnly 标志 cookie 在 Safari 浏览器中也很好。

我对开发者社区进行了大量的研发工作。但它没有帮助。

【问题讨论】：

您解决过这个问题吗？我也在为同样的事情苦苦挣扎
有同样的运气，有人吗？
更多信息 - HERE

标签： java security cookies browser safari

【解决方案1】：

HTTPOnly cookie 根据定义创建为不允许从 javascript 访问。这是一种安全控制，可确保黑客无法通过提取有效的 cookie 值（如会话 ID）来利用您的软件

HttpOnly 是网站可以指定的关于 cookie 的标志。换句话说，网络服务器告诉您的浏览器“嘿，这是一个 cookie，您应该将其视为 HttpOnly”。

JavaScript 无法访问 HttpOnly Cookie。只有浏览器知道它，它不会把它交给页面中的 JavaScript 代码。起初，这听起来像是一个限制，但确实如此。但是，这样做的目的是我们不能信任 JavaScript 代码。攻击者可能会使用 JavaScript 窃取我们存储在 cookie 中的身份验证令牌，然后使用我们的帐户访问该网站。使用 HttpOnly cookie，这是不可能的。这使得 XSS 攻击（我们刚刚描述的）更难执行。

公认的最佳做法是仅与 HttpOnly cookie 共享任何身份验证数据。使用标准 cookie 进行身份验证是我们在任何情况下都应该避免的已知漏洞。

https://www.ictshore.com/ict-basics/httponly-cookie/

【讨论】：

这并没有回答 OPs 的问题。为什么 safari 不会将这些 httpOnly cookie 与后续请求一起发送，但 chrome 和 Edge 等会？