У меня есть сайт, который хранит случайный идентификатор сессии в куки сессии. В Chrome Dev Tools это выглядит так ...
Обратите внимание, что это говорит, что cookie только http. Но в IE я вижу, что он не установлен только для http ...
Обратите внимание, что это не только HTTP. Наконец, Firefox тоже имеет только http-доступ ....
Так что новые браузеры по умолчанию используют http-only для файлов cookie сеанса? Почему это Http-only только в некоторых браузерах, но не в других?