那些遇到过的问题

带有HttpOnly标志的Cookie,用于Https协议上的angularJs应用程序

Kav*_*ali 1 cookies https httponly angularjs

我有一个Angular Js应用程序,使用https协议与服务器通信.我使用cookie来存储登录用户的名字和jwt令牌.下面是我用来设置cookie的代码.

    $cookies.putObject('token', token, {
        expires: exp,
        secure: true
      });
Run Code Online (Sandbox Code Playgroud)

为了从安全团队获得我的应用程序许可,我需要为cookie设置HttpOnly标志.

当我打开我的网站的cookie时,我看到两个项目

  1. connect.sid - 不确定如何创建它.我没有做任何明确的事情来创建这个cookie.
  2. token - 这是我创建的用于存储用户及其jwt令牌的cookie.

我搜索并做了必要的更改,在这些cookie上设置HttpOnly标志.它工作,我可以看到两个cookie都有HttpOnly标志检查.但在此更改后,我的身份验证停止工作(即我无法访问cookie中的jwt集).换句话说,我与后端的沟通被打破了.我使用下面的语句来读取cookie.

$cookies.getObject('token')
Run Code Online (Sandbox Code Playgroud)

我不得不恢复一些改变以恢复到以前的状态.现在,connect.sid cookie设置为HttpOnly标志而令牌cookie不设置.我想知道这里一定是什么问题.我是Angular Js的新手,之前从未参与过Cookie管理.任何帮助将不胜感激.

Him*_*tal 7

一个HttpOnly饼干意味着它不能从脚本语言如JavaScript进行访问.所以在JavaScript中绝对没有API可用于获取/设置cookie的HttpOnly属性,否则会破坏HttpOnly的含义.

只需从服务器设置"令牌"cookie即可.

  • 是的,这是预期的行为.HttpOnly Cookies意味着不能被javascript阅读. (3认同)

归档时间:

查看次数:

7298 次

最近记录:

8 年,6 月 前
相关归档
如何在AngularJS中刷新/无效$ resource缓存 94
angular指令封装了ng-change的延迟 25
Angularjs和角度之间的区别 15
AngularJS:确定指令渲染所需的时间 11
Android - HTTP GET请求 10
Chrome上的原生日期选择器和IE/Firefox的后备 9
意外值''由模块导入''.请添加@NgModule注释 8
AngularJS:来自第二个索引的ng-repeat 7
如何在 Grails 中设置和检索 cookie? 5
在 macOS 的本地主机上设置 HTTPS [mac os catalina 10.15.2] 4
难疑归档
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
为什么我不应该在PHP中使用mysql_*函数? 2432
Node.js module.exports的目的是什么,你如何使用它? 1397
match_parent和fill_parent有什么区别? 1371
如何通过curl调用使用HTTP请求发送标头? 1328
在jQuery中序列化为JSON 1189
如何从Git存储库中删除.DS_Store文件? 1167
wait()和sleep()之间的区别 1158
HTML中"role"属性的目的是什么? 1122
有效地使用Git和Dropbox? 1117