2

我知道 Web 应用程序为会话 cookie 设置 HttpOnly 和 Secure 标志是一个很好的安全实践,但我不相信用本机代码编写的 iOS 应用程序有必要(换句话说 - 没有使用 Javascript) .

由于没有使用 Javascript,由于未设置 HttpOnly 标志,是否有人可以访问会话 cookie?

如果应该设置标志,那么最好的方法是什么?

谢谢。

4

1 回答 1

2

如果您的用户只会使用原生 iOS 应用程序而不是 Web 浏览器,那么您不需要设置这些标志,只要原生应用程序知道安全地处理 cookie。这些标志旨在向客户端应用程序(通常是 Web 浏览器)指示它应该只在某些条件下提交 cookie,通常是连接正在使用https. 仅在适当的时候提交 cookie 将是本机应用程序的责任。如果存在无法安全处理 cookie 并且可能存在歧义的情况,那么您应该使用它们。

无论如何,我会将它们用于未来的兼容性,以及它们易于设置的事实。很有可能现在无关紧要,但是您永远不知道未来会带来什么以及您的应用程序将如何发展。

于 2013-05-15T23:59:23.420 回答