会话cookie总是应该是HttpOnly吗?
答案 0 :(得分:3)
JavaScript应该访问会话cookie的原因很少。我遇到的唯一一个是闪存必须访问cookie的一个,因为它必须通过相同的cookie授权自己的请求。为了给flash提供cookie,我必须将cookie打印到页面上(这使得它们可供JS使用)。
那仍然适用于HttpOnly标志设置(但该标志将是多余的)。
简而言之,是的,设置标志。
答案 1 :(得分:1)
如果您只想通过HTTP(而不是JavaScript)访问它,那么是。
一些较旧的浏览器允许您通过XHR挖掘标头中的cookie。我相信这已在新版本中得到修复。