Question

Я занимаюсь разработкой веб-приложения и занимаюсь проверкой подлинности пользователя. Я могу получить токен доступа , первоначально сделав HTTP POST вызов API.

Идея знать, где хранить его, чтобы он не был уязвим для XSS.

Слышали о HttpOnly Cookie, который делает возможным чтение cookie клиентом (javascript), но дело в том, почему мне нужно что-то хранить на моем конце, когда я не могу получить к нему доступ. Как отправить обратно на токен доступа (API), сохраненный в coockie только по протоколу http, поскольку я не могу его получить, поэтому не могу присоединить его к заголовкам моего http запроса .

Кроме того, я могу добавить коки с флагом HttpOnly, используя javascript?

Michael · Answer 1 · 13 сентября 2018

HttpOnly означает, что вы не можете прочитать его из Javascript на клиенте, но браузер все еще знает об этом cookie и добавляется к любому последующему запросу, который вы делаете на сервер.

Это может быть полезно, например, для файла cookie сеанса аутентификации. Сессионные куки-файлы обычно являются непрозрачными токенами, которые не имеют смысла для пользователя и имеют значение только для сервера. Таким образом, нет реальной причины, по которой клиентскому коду нужно было бы их читать

Кроме того, я могу добавить cookie с флагом HttpOnly, используя javascript?

нет

Нет

Где хранить токен доступа, чтобы он не был уязвим для XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Где хранить токен доступа, чтобы он не был уязвим для XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов