在我的iOS應用中，是否有任何理由爲會話cookie設置HttpOnly和Secure標誌？

Question

我知道這是Web應用程序爲會話cookie設置HttpOnly和Secure標誌的一個很好的安全做法，但我不相信它是用本地代碼編寫的iOS應用程序所必需的（換句話說 - 沒有Javascript是用過的）。

由於Javascript沒有被使用，有沒有什麼辦法有人可以訪問會話cookie作爲HttpOnly標誌沒有被設置的結果？

如果應該設置標誌，那麼執行此操作的最佳方法是什麼？

謝謝。

Answer 1

如果您的用戶只會使用本機iOS應用程序而不是Web瀏覽器，那麼不需要設置這些標誌，只要本機應用程序知道要安全地處理cookie即可。這些標誌旨在向客戶端應用程序（通常是網絡瀏覽器）指示它應該只在特定條件下提交cookie，並且通過連接使用https。本地應用程序有責任在適當時僅提交cookie。如果在某些情況下，cookie將而不是安全地處理並且可能有歧義，那麼您應該使用它們。

無論如何，我會將它們用於將來的兼容性，以及它們易於設置的事實。機會很好，現在也不重要，但你永遠不知道未來會帶來什麼，以及你的應用會如何發展。正如你所說，