假设我有一个使用ajax httponly cookie的Web应用程序用于登录会话(令牌)存储。我想知道我是否将我的网络应用程序嵌入到本机客户端(android或ios webview),安全cookie是否仍然无法读取?因为我刚认识到Android有CookieManager,它能够从webview读取cookie。
主要问题是,我想将用户访问令牌存储到cookie或用户浏览器中的某个位置。我想确保无论用户在哪个环境(普通的chrome或safari,或在本机应用程序webview中),存储的用户令牌都保持安全且不可读用于XSS或任何其他黑客攻击。有没有办法实现这个目标?