我正在开发一个Web应用程序,我正在处理用户身份验证的过程。我可以通过最初对API进行 HTTP POST 调用来获取访问令牌。
知道的想法是存储它的位置,以便它不容易受到XSS的攻击。
听说过 HttpOnly Cookie,这使得Cookie可以被客户端(javascript)读取,但问题是,当我无法访问它时,为什么我需要存储一些内容? 。我如何仅使用http发送回存储在coockie中的后端(API)访问令牌,因为我无法将其附加到我的 http请求的标题中。
另外,我可以使用javascript添加带有标志HttpOnly的coockie吗?
答案 0 :(得分:0)
iss意味着您无法在客户端上的Javascript中读取它,但浏览器仍然知道该cookie,并且该cookie已添加到您对服务器提出的任何后续请求中。
例如对于身份验证会话cookie很有用。 会话cookie通常是不透明的令牌,对于用户而言毫无意义,并且仅对服务器有意义。因此,没有真正的理由说明为什么客户端代码需要读取它们
还可以使用JavaScript添加带有标志HttpOnly的cookie吗?
否