我发现了link
但在底部它表示此信息可能不再是最新信息。 所以我的问题是,http_only cookie是否会与AJAX一起发送?可以通过AJAX响应设置http_only cookies吗?
编辑1:假设用户已登录系统。他的会话开始并设置了http_only cookie。他试图通过AJAX获取他的朋友列表并发送JSON。在发出AJAX请求时,我是否需要发送一些特别的内容来发送cookie?默认情况下,每个请求是否会将cookie发送到服务器?响应是否会发回cookie(假设我正在更新用户上次活动的时间)?
答案 0 :(得分:5)
是的,他们会。
HttpOnly
使Cookie未显示在document.cookie
和XMLHTTPRequest.getAllResponseHeaders
中。它不会阻止它们与HTTP请求一起发送,与跨域HTTP请求的异常(它听起来不像你在这里使用的那样)。