Intestazioni HTTP protette

Secondo RFC 6265 sezione 5.2 , i singoli attributi dell'intestazione Set-Cookie vengono elaborati in qualunque ordine siano trovati e Sicuro e HttpOnly sono semplicemente usati per impostare valori discreti senza riferimento o relazione tra i due:

8. If the cookie-attribute-list contains an attribute with an attribute-name of "Secure", set the cookie's secure-only-flag to true. Otherwise, set the cookie's secure-only-flag to false.

9. If the cookie-attribute-list contains an attribute with an attribute-name of "HttpOnly", set the cookie's http-only-flag to true. Otherwise, set the cookie's http-only-flag to false.

Quindi, no, secondo la RFC l'ordine in cui sono elencati non ha importanza. Ciascuno imposterà un singolo flag, indipendentemente dal fatto che l'altro sia assente, presente o in ordine variabile.

Inoltre non ho mai sentito di un'implementazione che riguardasse l'ordine (mentre sono sicuro che qualcosa, da qualche parte, in qualche modo si sbaglia di questo - non me ne preoccuperei)

Si noti che questa è una domanda leggermente diversa da quello a cui @BadSkillz ha fatto riferimento nel suo commento - che ha a che fare con l'ordine delle intestazioni; questo ha a che fare con l'ordine dei campi all'interno di una particolare intestazione.

...

Completamente per coincidenza, I attivato i flag Secure e HttpOnly per i cookie AS5 F5 su uno dei miei sistemi oggi. L'F5 ASM applicherà due cookie per aiutare a fare la magia WAF-y. Non appena l'ho abilitato, ho provato e questi sono i cookie inviati (... per la larghezza):

Set-Cookie: TS01145f87=01ca34131874c763...6207; Path=/; Secure; HTTPOnly 
Set-Cookie: TS013fdbf2=01ca341318b0cba9...b198; path=/ui/; HTTPonly; Secure

Quindi, per due cookie impostati da un pezzo di software con un punto di configurazione, sono finiti con ordini diversi per gli attributi.