有關訪問HttpOnly Cookie和安全cookie的疑問

Question

我正在使用angularJS進行RESTful SPA應用程序工作。目前最初的REST呼叫是在用戶登錄成功後在xyz.com（安全響應cookie）上設置「令牌」cookie。我無法在Javascript/angular中讀取此cookie，因爲我在本地主機上工作。

我在這裏理解的，除非我從xyz.com運行這個應用程序，我將無法訪問這個cookie，或者我需要一個安全的連接？

我的理解是否正確？其次，我對「httponly」cookie的理解是，即使你在同一個主機上，它也不會從javascript訪問。

請糾正我的理解。

Answer 1

作爲網站的作者：

• 不能讀取cookie中的不同部位（曾經）
• 你不能用JavaScript讀取HTTP只有餅乾
• 您無法讀取安全cookie除非通過HTTPS提供服務

這是三個單獨的條件，具有獨立效果，並且沒有，它們中的一部分或全部可以應用於任何給定的cookie。

因此，如果一個cookie是安全和爲不同的網站然後如果你使用你不能閱讀它，不管HTTPS或沒有（因爲不同網站塊你，即使安全沒有） 。