我正在开发一个Web应用程序,我正在处理用户身份验证的过程。我可以通过最初对API进行HTTP POST调用来获取访问令牌。
知道的想法是存储它的位置,以便它不容易受到XSS的攻击。
听说过HttpOnly Cookie这使得cookie可以被客户端读取(javascript),但问题是当我无法访问它时,为什么我需要存储一些内容。我如何发送回使用http存储到coockie中的后端(API)访问令牌,因为我无法获取它所以我无法将其附加到我的http请求的标头中。
另外,我可以使用javascript添加带有标志HttpOnly的cookie吗?
HttpOnly意味着您无法在客户端上从Javascript中读取它,但浏览器仍然知道该cookie,并且它正被添加到您向服务器发出的任何后续请求中。
例如,它对于auth会话cookie很有用。会话cookie通常是不透明的令牌,对用户毫无意义,仅对服务器有意义。因此,没有真正的理由为什么客户端代码需要读取它们
另外,我可以使用javascript添加带有标志HttpOnly的cookie吗?
没有