也在httpOnly响应体中发送httpOnly

Question

我已经对这个主题做了一些研究，我在SE：在HTTP响应体内发送会话cookie上发现了这个问题

但这只是部分地回答了我的问题。

登录时，我的服务器将创建一个httpOnly cookie，并将此授权令牌放在响应体中。这是因为我的服务器处理来自浏览器的正常HTTP请求，并且还提供了RESTful API。

在API请求的情况下，客户端将在响应体中找到令牌并相应地使用它。(我相信不会收到饼干，因为请求不是通过普通浏览器提出的，如果我错了，请纠正我。)

在浏览器请求的情况下，令牌将作为httpOnly cookie接收，但也将在响应体中接收。我的疑问是:这难道不只是取消使用httpOnly cookie的事实吗，因为我也在响应体中发送令牌？

出现这个问题是因为我还需要处理API调用，这就是为什么我在响应体中发送令牌的原因。

我希望我的问题很清楚。

Answer 1

如果您能够在请求体中发送令牌，则它必须存储在脚本可访问的某个位置(可能在会话或本地存储中)。如果它存储在脚本可访问的某个地方，那么使用cookie be HttpOnly实际上是没有意义的。

HttpOnly刚开始仅仅是一种安全措施--对于大多数开发方案来说，它可能会限制破坏或加大攻击难度，但XSS仍然很容易对用户造成灾难性后果--而且只有当cookie值从未暴露在其他任何地方的脚本中时，它才有意义。因为这在这里不适用，所以HttpOnly标志是没有意义的。