我正在使用angularJS处理RESTful SPA应用。目前,初始REST调用是在用户成功登录后在 xyz.com (安全响应cookie)上设置“令牌”cookie。当我在localhost上工作时,我无法以Javascript / angular读取此cookie。
我在这里理解,除非我从xyz.com运行此应用程序,否则我无法访问此cookie或我是否需要安全连接?
我的理解是否正确?
其次,我对“httponly”cookie的理解是,即使你在同一台主机上,它也无法通过javascript访问。
请纠正我的理解。
答案 0 :(得分:4)
作为网站的作者:
这是三个独立的条件,具有独立的效果,没有,它们中的一些或全部可以应用于任何给定的cookie。
因此,如果某个cookie 安全而用于其他网站,那么无论您是否使用HTTPS,都无法读取它(因为不同的网站即使安全没有阻止你,也会阻止你。