【发布时间】:2011-10-10 18:34:21
【问题描述】:
会话 cookie 应该始终是 HttpOnly 吗?
【问题讨论】:
-
在我看来,没有。但它只能提高一点安全性,因为一些小浏览器没有实现它
【发布时间】:2011-10-10 18:34:21
【问题描述】:
如果您只想通过 HTTP(而不是 JavaScript)访问它,那么可以。
一些较旧的浏览器允许您通过 XHR 在标头中挖掘 cookie。我相信这已在较新的版本中得到修复。
【讨论】:
JavaScript 访问会话 cookie 的理由很少。我遇到的唯一一种情况是,flash 必须访问 cookie,因为它必须发出自己的请求,这些请求是通过相同的 cookie 授权的。为了给 flash cookie 我必须将 cookie 打印到页面上(这使它们可用于 JS)。
如果设置了 HttpOnly 标志,那仍然可以工作(但该标志是多余的)。
简而言之,是的,设置标志。
【讨论】: