Ziz*_*Tai 9 cookies https firefox http
当我注意到 Firefox 的这种行为时,我正在做一些本地开发。我有一个运行在http://127.0.0.1:8080(没有 TLS)的本地开发服务器,它用一个安全的、仅主机的 cookie 响应 Firefox,如下所示:
"__Host-my-session""127.0.0.1"truetrue"/""Strict"true我想因为这是一个安全的 cookie,所以我的本地非 TLS 开发服务器应该无法读取它。但是,Firefox 能够很好地将此 cookie 发送到我的本地开发服务器,而 Safari 不会发送它。
这是 Firefox 中帮助本地测试的特例,还是我在做/理解错误?
DZe*_*Zet 10
我有同样的事情,Chrome 不接受,但 Firefox 继续。
Firefox 甚至在其检查器中显示安全标签实际上已被标记。
我最初的想法也是 Firefox 在 localhost 上对 http 进行了例外处理。
更新:
对于 Firefox,这是此处提到的预期行为:https : //bugzilla.mozilla.org/show_bug.cgi?id=1648993
Chrome 考虑采用相同的行为:https : //bugs.chromium.org/p/chromium/issues/detail?id=1056543,并将从Chrome 89开始(2021 年 3 月 2 日稳定)。