Question

Я создаю сеансы, основанные на токене jwt, и передаю этот токен клиенту с аргументом httpOnly, но файл cookie отображается в браузере. Вот фото: , а вот код

const token = jwt.sign({id :payload}, process.env.SECRET, {
            expiresIn: 10
        })

        console.log(token)
     res.cookie('token', token, {
            httpOnly: true
        });

в чем проблема, почему "token cookie" виден?

Federico G · Answer 1 · 12 марта 2019

С MDN

Чтобы предотвратить атаки с использованием межсайтовых сценариев (XSS), файлы cookie HttpOnly недоступен для JavaScript API Document.cookie; они только отправлены на сервер. Например, куки, которые сохраняются на серверной сессии не должен быть доступен для JavaScript, а флаг HttpOnly должен быть установленным.

Флаг HttpOnly не препятствует отображению cookie, но предотвращает доступ из JavaScript. Файлы cookie не могут быть скрыты

httpТолько куки видны

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

httpТолько куки видны

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов