我目前遇到 Firefox 的问题,它接收带有 httponly 标志的 cookie。但是,当随后的响应发送到服务器时,请求不包含任何 httponly 标志(这可能是正确的行为),但是当响应返回时,它返回 cookie 但是它没有附加 httponly 标志,正如我假设的那样它以与它相同的状态返回它。
那么这是正确的行为吗?我应该为每个请求手动更新服务器上 cookie 的 httponly 状态吗?还是应该在调用之间保持 httponly 状态?我确信每个浏览器可能会有一些不同的行为,但只是假设现代主流浏览器。