我可以看到HttpOnly cookie是good for security,但是他们在没有服务器交互的情况下进行注销,对吗? 1 所以当网络出现故障时,你不能退出并离开。我可以想象一个解决方法,但我想先问一下
1假设您实际使用它们。
答案 0 :(得分:16)
如果通过注销你的意思是删除会话cookie,那么不,你不能从Javascript中删除HttpOnly cookie。但是,设置两个 cookie,一个HttpOnly和一个不安全的cookie很容易,这样只有两者的组合才是有效的会话密钥。删除任一cookie都会破坏会话。
如果您的服务很敏感,那么处理所有真实的威胁情景确实很有意义,而且这个非常现实。
设置两个cookie,其中一个是HttpOnly,实际上在标准CSRF预防技术中很常见。我没有在你的特定场景中看到它,但它与反CSRF案例非常相似,看起来像是一般的双语饼干理念的明显和简单的应用。