【发布时间】:2022-01-17 19:12:26
【问题描述】:
通过标题“Access-Control-Allow-Credentials”,可以定义响应将被 JavaScript 公开和访问。
凭据是 cookie、授权标头或 TLS 客户端证书。
使用 Cors - Cookies 时,我需要将此标头设置为 true (https://stackoverflow.com/a/46412839/6458608)。
通过“http-only”cookie,我可以定义不应在 JS - 上下文中公开 cookie。
至少在我的理解中,这两个配置相互挑战。
问题:
- 是否有一些优先级,例如“即使设置了 allow-credentials 标头,http-only 也不会暴露给 JS - 上下文”?
- 在使用 cors - cookie 时是否需要考虑一些事项?或者我可以确定我永远无法访问 JavaScript 中的 http-only cookie 吗?
【问题讨论】: