我有一个使用 Spring Boot 的应用程序,我在其中设置了 HttpOnly cookie。在浏览器中,我可以检查它并看到它设置为 HttpOnly。有了这个,我避免了客户端在它上面使用 javascript。
但是,读取 cookie 时我是否必须在服务器端做任何事情?据我了解,我不能使用 javascript 来读取 cookie,但我仍然可以使用浏览器插件创建一个与 HttpOnly 具有相同名称和值的非 HttpOnly cookie。在服务器端,我不需要验证 cookie 以及它是否是 HttpOnly 吗?
我已经尝试通过从请求中获取 cookie 列表来做到这一点,但似乎它们都将不同的字段设置为默认值。我可以读取的唯一字段是 cookie 的名称和值。
这是预期的行为吗?