Я использую Chrome и Dropwizard для своих экспериментов.Последовательность шагов:
Браузер вызывает первую конечную точку сервера, сервер возвращает некоторые данные, а также устанавливает файл cookie ответа, который имеет вид HttpOnly.
Вызовы браузераконечная точка второго сервера.Конечная точка второго сервера видит файл cookie, который он первоначально отправил как часть первого ответа (с правильным значением).Однако этот файл cookie не помечен как HttpOnly.
Почему это так?Еще до того, как сделать второй запрос API, браузер ясно показывает, что файл cookie, полученный в первом ответе, является HttpOnly.