那些遇到过的问题

httpOnly cookie 可见

ili*_*lia 1 cookies node.js jwt

我正在创建基于 jwt 令牌的会话,并使用 httpOnly 参数将该令牌传递给客户端,但 cookie 在浏览器中可见,这是照片:在此输入图像描述 这是代码

const token = jwt.sign({id :payload}, process.env.SECRET, {
            expiresIn: 10
        })

        console.log(token)
     res.cookie('token', token, {
            httpOnly: true
        });
Run Code Online (Sandbox Code Playgroud)

为什么“token cookie”可见是什么问题?

Fed*_*o G 6

来自MDN

为了防止跨站脚本(XSS)攻击,JavaScript 的 Document.cookie API 无法访问 HttpOnly cookie;它们仅发送到服务器。例如,保存服务器端会话的 cookie 不需要对 JavaScript 可用,并且应该设置 HttpOnly 标志。

HttpOnly 标志不会阻止 cookie 可见,但会阻止从 JavaScript 访问。Cookie 无法隐藏

归档时间:

查看次数:

1386 次

最近记录:

6 年,11 月 前
相关归档
nodeJS - 如何使用express创建和读取会话 52
后端使用Vite 37
我怎么知道我已达到Node中定义的线程限制? 17
如何从CookieManager android获取所有cookie? 16
SassError:未定义的变量。依赖失败 16
为什么我在node.js中使用parseInt会得到奇怪的结果?(来自chrome js控制台的不同结果) 12
神秘的Cookie失效日期`1969-12-31T23:59:59.000Z` 8
在.NET Framework和.Net Core之间共享身份验证cookie 8
使用 Django Rest Framework Simple JWT TokenRefresh 返回用户名和 ID 6
无身份的 ASP.NET CORE 2.0 Facebook 不记名身份验证 5
难疑归档
'git pull'和'git fetch'有什么区别? 11447
从脚本本身获取Bash脚本的源目录 4672
检查shell脚本中是否存在目录 3556
如何在Python中将字符串解析为float或int? 2108
为什么GCC不优化a*a*a*a*a*a到(a*a*a)*(a*a*a)? 2083
如何在Ruby中编写switch语句 2026
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
如何使用git merge --squash? 1101
Access-Control-Allow-Origin标头如何工作? 1050
如何进行HTTP POST Web请求 1033