httpOnly cookie 可见
他们的
我正在创建基于 jwt 令牌的会话,并使用 httpOnly 参数将该令牌传递给客户端,但 cookie 在浏览器中可见,这里是照片:
这里是代码
const token = jwt.sign({id :payload}, process.env.SECRET, {
expiresIn: 10
})
console.log(token)
res.cookie('token', token, {
httpOnly: true
});
为什么“令牌cookie”可见的问题是什么?
费德里科·G
来自MDN
为防止跨站脚本 (XSS) 攻击,JavaScript 的 Document.cookie API 无法访问 HttpOnly cookie;它们只发送到服务器。例如,保留服务器端会话的 cookie 不需要对 JavaScript 可用,并且应该设置 HttpOnly 标志。
HttpOnly 标志不会阻止 cookie 可见,但会阻止从 JavaScript 访问。Cookie 无法隐藏
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
编辑于
相关文章
Related 相关文章
- 1
HttpOnly用于请求Cookie
- 2
HttpOnly用于请求Cookie
- 3
在cookie中将httponly属性设置为false
- 4
如何从cookie中删除HttpOnly属性
- 5
使ASP.NET_SessionId cookie不是httpOnly
- 6
javascript将cookie设置为httponly
- 7
使ASP.NET_SessionId cookie不是httpOnly
- 8
javascript将cookie设置为httponly
- 9
Xamarin可以读取httponly cookie吗?
- 10
'HttpOnly' 应该添加到 'auth' cookie
- 11
在WKUIWebView中编写从Mobile Safari可见的cookie
- 12
如何在Tornado中设置“安全”和“ httponly” cookie?
- 13
javascript Chrome扩展程序无法读取httponly cookie
- 14
当httponly为true时,cookie阻止setcookie()删除
- 15
通过RequestContext的IHttpResponse未在cookie中设置HttpOnly = false
- 16
如何在Codeigniter中设置session.cookie值httponly
- 17
为什么不总是使用HTTPOnly和Secure cookie标志?
- 18
会话ID放置:表单隐藏字段与HTTPOnly Cookie
- 19
从Silverlight应用程序将cookie设置为HttpOnly
- 20
会话Cookie HTTPOnly标志未在注销响应上设置(Django)
- 21
如何从Java客户端获取httponly cookie?
- 22
从Cookie中提取Httponly,安全,域和路径
- 23
获得带有机盖的httponly cookie的访问权限
- 24
SESSION_COOKIE_HTTPONLY = True在Django中不起作用:
- 25
在清漆4中的cookie上设置HTTPOnly标志
- 26
从URL栏可见的Cookie,但在浏览器开发人员工具的“应用程序”选项卡中不可见
- 27
使用CSRF_COOKIE_HTTPONLY = True将角形形式提交到Django后端
- 28
是否有任何理由不对所有cookie使用HttpOnly?
- 29
将安全和httpOnly标志添加到Apache httpd中的每个Set-Cookie响应
我来说两句