Изначально у меня вызвало дикое удивление, что если залогинился на сайт, потом закрыл браузер и вновь его открыл - мне нужно заново логиниться. А если делать всё тоже самое с вкладкой - я остаюсь залогиненым.

Почитав этот пост: http://stackoverflow.com/a/8901917/2674303

Понял, что дело в том, что браузер теряет куки типа HttpOnly после перезапуска браузера(если не указать в самом браузере хитрых настроек), но не теряет после закрытия вкладки.


Как я узнал бывает много типов кук:
https://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie

https://en.wikipedia.org/wiki/HTTP_cookie#HttpOnly_cookie An HttpOnly cookie cannot be accessed by client-side APIs, such as JavaScript

Если у меня нет доступа к http only кукам через javascript, то почему я вижу jsessionId в браузере ?



На какой тип нужно изменить куку jsessionId, чтобы после перезапуска браузера мне не надо было логиниться вновь?

hVosttquestioner,

всё правильно. в чём проблема-то? браузер все куки видит, на то они и куки. какие бы они не были, они все для браузера, а не компьютерной мыши.

а как же

авторAn HttpOnly cookie cannot be accessed by client-side APIs, such as JavaScript

skyANA,

Спасибо

skyANA,

Такой вопрос ещё.
Есть сайт, я на нём залогинен.

я копирую все куки, потом закрываю браузер, потом вновь открываю браузер и вставляю куки. я должен стать залогинен?

P.S. на момент запуска браузера старая сессия живёт. уверен.(никаких колбэков на закрытие браузера нет)

Просто я не становлюсь залогинен и не понимаю почему

Petro123questioner,
questioner.(никаких колбэков на закрытие браузера нет)
с чего взял?
На строне сервера могут узнать конец сессии без всякого колбэка.
Код часто закрывают на просмотр.

Я знаю, что сессия жива.

На сервере ничего такого не имплементировали, уверен.

авторКод часто закрывают на просмотр
О чем речь?
авторНа строне сервера могут узнать конец сессии без всякого колбэка.
Как? timeout вечный

Petro123questionerЯ знаю, что сессия жива.
суслика видишь? )))
questionerО чем речь?
обфускация кода. Или сервер тоже твой как программиста?
questionerКак? timeout вечный
говори яснее.
Есть настройки на сервере и есть на клиенте (эксплорер).

ui с нашей стороны написан. Спросил разработчиков)

авторговори яснее.
Есть настройки на сервере и есть на клиенте (эксплорер).

на стороне сервере сессия вечная (maxInactiveInterval)

Antonariyquestionerя копирую все куки, потом закрываю браузер, потом вновь открываю браузер и вставляю куки. я должен стать залогинен?да


Вот и я думаю, что должен, а хрен

Antonariyвозможно дело в отличающемся ip, если куки берутся с другого компа.

Всё на одном компе происходит.

я куки ворую не так может?

Исполняю такую команду:




на вкладке application в хроме проставляется только первое значение

Да, куки я криво выставлял, но выставил таки

логинюсь, потом чищу фидлер и обновляю страницу.
вижу:

тыкаю на первый попавшийся запрос:



тырю куки.

Закрываю браузер
захожу на страницу логина сайта, вставляю куки

обновляю страницу

вижу в фидлере:




Вопросы не отпали.

Antonariyкстати, если сервер свой же, то почему бы не отладить на нем обработку кривой сессии? по коду будет видно, чего в ней не хватает.

На сервере...в общем не получилось на сервере понять в чем дело.

По поводу raw

sucess:
авторGET http://localhost:8080/*** HTTP/1.1
Host: localhost:8080
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: JSESSIONID=182n4rgf5or001dcu1fkp81ymk; sessionId=HZ99AE3DF38AFD491E9F9FF6DD4F7F652C
failure:
авторGET http://localhost:8080/***/ HTTP/1.1
Host: localhost:8080
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
Cookie: sessionId=HZ99AE3DF38AFD491E9F9FF6DD4F7F652C; JSESSIONID=182n4rgf5or001dcu1fkp81ymk


Разница, что во втором есть
авторPragma: no-cache
Cache-Control: no-cache

Это может влиять?