我可以看到 HttpOnly cookies 是good for security ,但是它们使没有服务器交互的注销是不可能的,对吗?1 因此,当网络出现故障时,您无法注销并离开。我可以想象一个解决方法,但我想先问
1 假设您实际使用它们。
最佳答案
如果注销是指删除 session cookie,那么不,您不能从 Javascript 中删除 HttpOnly cookie。但是,很容易设置两个 cookie,一个是 HttpOnly,一个是不安全的,这样只有两者的组合才是有效的 session key 。删除任何一个 cookie 都会破坏 session 。
如果您的服务很敏感,那么处理所有现实威胁场景确实很有意义,而这个场景非常现实。
设置两个 cookie,其中之一是 HttpOnly,实际上在标准 CSRF 预防技术中很常见。我没有在您的特定场景中看到它,但它与反 CSRF 案例非常相似,并且看起来像是一般 twoo-cookies 想法的明显且简单的应用。
关于web-services - 使用 HttpOnly cookie 注销,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22613368/