他们的
我正在创建基于 jwt 令牌的会话,并使用 httpOnly 参数将该令牌传递给客户端,但 cookie 在浏览器中可见,这里是照片:这里是代码
const token = jwt.sign({id :payload}, process.env.SECRET, {
expiresIn: 10
})
console.log(token)
res.cookie('token', token, {
httpOnly: true
});
为什么“令牌cookie”可见的问题是什么?
费德里科·G
来自MDN
为防止跨站脚本 (XSS) 攻击,JavaScript 的 Document.cookie API 无法访问 HttpOnly cookie;它们只发送到服务器。例如,保留服务器端会话的 cookie 不需要对 JavaScript 可用,并且应该设置 HttpOnly 标志。
HttpOnly 标志不会阻止 cookie 可见,但会阻止从 JavaScript 访问。Cookie 无法隐藏
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
编辑于
我来说两句