会话Cookie安全/httponly

Question

我在网上搜索了很长一段时间，但我没有找到一个令人满意的答案，我的问题。

我必须从某个http站点获得一个json对象。我这样做，通过http获得请求(网站只有在http上可用)。该站点使用会话cookie进行响应：

Set-Cookie: session_id=95656983e1feaff45a000aa7f2f9093a1ea4b1c3；expires=Fri 2018年4月20日14:00:51 GMT；httponly；最大年龄=3600；Path=/；安全

我的第一个问题是，为什么在设置httponly & secure标志时通过http发送cookie？？

在我得到json对象之后，我必须做一些有趣的事情，并将json对象发送回同一个域的另一个站点。另外，本网站仅可通过http访问。(我用python中的请求处理python请求，并使用requests.session()来处理cookie，这样就没有问题了)。当我使用mitmproxy查看请求的头时，我发现没有设置cookie，页面用“我的COOKIE在哪里？”进行响应。

我认为问题在于httponly & sercur标志。我只是不知道如何处理它，因为页面只能在http上访问，而不是https？

Answer 1

Secure属性指示客户机/浏览器仅在使用安全通道时返回cookie，但是应用程序/服务器可以通过普通HTTP将此cookie设置为client/browser。您是正确的，安全标志导致了问题，AFAIK没有办法解决它。