关于访问 HttpOnly Cookie & Secure cookie 的查询

【问题标题】:Query about accessing HttpOnly Cookie & Secure cookie关于访问 HttpOnly Cookie & Secure cookie 的查询
【发布时间】:2014-02-04 07:16:10
【问题描述】:

我正在使用 angularJS 开发 RESTful SPA 应用程序。当前,初始 REST 调用是在用户成功登录后在 xyz.com 上设置“令牌”cookie(安全响应 cookie)。当我在本地主机上工作时,我无法在 Javascript/Angular 中读取此 cookie。

我在这里理解的是,除非我从 xyz.com 运行此应用程序,否则我将无法访问此 cookie 或者我需要安全连接吗?

我的理解正确吗?

其次,我对“httponly”cookie 的理解是,即使您在同一主机上,也无法从 javascript 访问它。

请纠正我的理解。

【问题讨论】:

    标签: javascript angularjs cookies single-page-application restful-authentication


    【解决方案1】:

    作为网站的作者:

    • 您无法读取其他网站的 cookie(永远)
    • 您无法使用 JavaScript 读取仅 HTTP 的 cookie
    • 除非通过 HTTPS 提供,否则您无法读取安全 cookie

    这是三个独立的条件,具有独立的效果,并且没有一个、部分或全部可以应用于任何给定的 cookie。

    因此,如果 cookie 安全 并且 用于不同的站点,那么无论您是否使用 HTTPS,您都无法读取它(因为 不同的站点 阻止你,即使 secure 没有)。

    【讨论】:

    • 这意味着,如果我在同一个域或子域中部署应用程序,它将允许访问受保护的 cookie 对吗? ..我对你提到的第三点有点困惑。不过,我了解 httpOnly Cookie。
    猜你喜欢
    • 2020-03-15
    • 1970-01-01
    • 1970-01-01
    • 2013-02-13
    • 1970-01-01
    • 1970-01-01
    • 2021-11-17
    • 2017-07-25
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode