【发布时间】:2022-01-18 02:51:18
【问题描述】:
例如,如果已安装的第三方软件包向其服务器发出 HTTP 请求,并且默认情况下,任何 HTTP 请求都会在请求标头中包含 cookie 内容,这是否会使内容暴露给服务器谁收到请求?我不明白httpOnly 如何防止访问令牌被泄露...
【问题讨论】:
-
httpOnly是为了防止欺骗。如果您想保护您的 cookie,您还应该使用secure:true -
但是,
secure: true只强制使用 HTTPS,因此同一 Internet 上的其他人无法理解其中的实际内容,但接收者可以。 -
对不起,“所以同一 Internet 上的其他人无法理解其中的实际内容”不是真的。 HTTPS 旨在防止这种情况发生。
标签: javascript cookies xss cookie-httponly