有关访问HttpOnly Cookie&安全的cookie

时间:2014-01-15 17:11:21

标签: javascript angularjs cookies single-page-application restful-authentication

我正在使用angularJS处理RESTful SPA应用。目前,初始REST调用是在用户成功登录后在 xyz.com (安全响应cookie)上设置“令牌”cookie。当我在localhost上工作时,我无法以Javascript / angular读取此cookie。

我在这里理解,除非我从xyz.com运行此应用程序,否则我无法访问此cookie或我是否需要安全连接?

我的理解是否正确?

其次,我对“httponly”cookie的理解是,即使你在同一台主机上,它也无法通过javascript访问。

请纠正我的理解。

1 个答案:

答案 0 :(得分:4)

作为网站的作者:

  • 您无法为其他网站(永远)阅读Cookie
  • 您无法使用JavaScript
  • 读取HTTP Only Cookie
  • 除非通过HTTPS提供,否则您无法读取安全Cookie

这是三个独立的条件,具有独立的效果,没有,它们中的一些或全部可以应用于任何给定的cookie。

因此,如果某个cookie 安全用于其他网站,那么无论您是否使用HTTPS,都无法读取它(因为不同的网站即使安全没有阻止你,也会阻止你。