我知道为Web应用程序设置会话cookie的HttpOnly和Secure标志是一个很好的安全做法,但我不相信用本机代码编写的iOS应用程序是必要的(换句话说 - 没有Javascript是正在使用)。
由于没有使用Javascript,有没有人可以通过未设置HttpOnly标志来访问会话cookie?
如果要设置标志,那么最好的方法是什么?
感谢。
答案 0 :(得分:2)
如果您的用户只使用原生iOS应用而不是网络浏览器,那么只要原生应用知道安全地处理cookie,您就不需要设置这些标志。这些标志旨在向客户端应用程序(通常是Web浏览器)指示它应该仅在某些条件下提交cookie,这是因为连接正在使用https。本机应用程序有责任仅在适当时提交cookie。如果有条件的情况下,不可以安全地处理,并且可能存在歧义,那么您应该使用它们。
无论如何,我会将它们用于将来的兼容性,以及它们易于设置的事实。机会很好,现在无关紧要,但你永远不知道未来会带来什么以及你的应用将如何发展。