为什么 Keycloak
中的 KEYCLOAK_SESSION
cookie 没有像其他的那样首先设置 HttpOnly
标志 cookies ?
最佳答案
正如 @besverino 在他的评论中提到的,KeyCloak 不允许设置 KEYCLOAK_SESSION
HttpOnly
标志,因为 KeyCloak 需要从 iFrame 访问 cookie。 KeyCloak这部分代码的注释是:
THIS SHOULD NOT BE A HTTPONLY COOKIE! It is used for OpenID Connect Iframe Session support!
引用文献:
关于keycloak - 我们可以将 HttpOnly 标志设置为 KEYCLOAK_SESSION cookie 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63990785/