Firefox将安全Cookie发送到本地主机

Question

14

我在进行本地开发时注意到了 Firefox 的这种行为。我有一个在http://127.0.0.1:8080（没有 TLS）运行的本地开发服务器，并且它响应 Firefox 带有以下内容的安全、仅限主机的 cookie：

我认为由于这是一个安全cookie，我的本地非TLS开发服务器不应该能够读取它。然而，Firefox 能够很好地将此 cookie 发送到我的本地开发服务器，而 Safari 不会发送它。

这是 Firefox 的特殊情况以帮助本地测试，还是我在做/理解某些事情时出了问题？

- Zizheng Tai

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- DZet · Accepted Answer

我也遇到了同样的问题，Chrome无法接受，但Firefox可以继续。

Firefox甚至在其检查器中显示这些安全标记已被标记。

我的初步想法也是Firefox在本地主机上使用http时会有例外。

更新:

对于Firefox而言，这是有意为之的行为，如此提到: https://bugzilla.mozilla.org/show_bug.cgi?id=1648993

现在已经将其添加到文档中（1、2）。

Chrome考虑采用相同的行为： https://bugs.chromium.org/p/chromium/issues/detail?id=1056543，并将从Chrome 89开始执行（预计于2021年3月2日稳定）。