问题标签 [cookie-httponly]

我正在尝试编写一个 Azure 函数，它将在用户的浏览器中设置一个 HttpOnly cookie，但它不起作用。在 Postman 中，我可以在响应中看到 Set-Cookie 标头，但是在浏览器中测试该功能时省略了此标头。

以下是返回给浏览器的标头： headers: {content-length: "13", content-type: "text/html; charset=utf-8"}

这是我的代码：

Azure 函数代码

节点代码

在上面的代码中 createHttpOnlyCookie() 是由一个按钮组件的 onClick 触发的。

在过去的一周里，我读了很多关于如何构建安全认证架构的文章。根据我的阅读：

我正在运行一个使用在 node.js 服务器上生成的 JWT 进行身份验证的 React 应用程序（SPA，非服务器渲染）。我将 JWT 放在一个 httpOnly cookie 中，通过 https 安全，sameSite，JWT 和 cookie 的寿命都很短，并且我在我的服务器上配置了 cors，只允许我的前端域。我还在加载我的 React 应用程序时生成了一个 csrf 令牌服务器端 - 客户端调用一个端点，csrf 令牌在 json 中发送回，我用它设置了一个 X-CSRF-Token 标头。由于 cors 只允许我的域请求，并且我知道 CSRF 攻击来自另一个域，我知道我可以保护我的 CSRF 令牌端点。

在从 0 到 5 的范围内，0 表示绝对不安全，5 表示非常安全，我上面的架构对于防止 CSRF 攻击有多安全？如果少于 5 个，你会建议我多做些什么？谢谢，

我阅读了一些与在本地存储中存储 jwt 令牌相关的问题，这就是我尝试将令牌存储在 http-only cookie 中的原因。我正在使用以下方法。

问题 1：这是使用 django rest 框架设置 httponly cookie 的正确方法吗？

在此之后，每次我收到来自客户端的请求（使用带有 axios 的 React）时，我都可以request.COOKIES['token']在 django 视图中访问 c​​ookie。使用它我可以编写自己的身份验证函数，但我认为这不是一个完美的方法，因为通常，我们在 Authorization 标头中传递令牌，它request.user基于令牌设置，如果我使用这种方法，我将无法使用postman for testing 和 django rest frameworksIsAuthenticated类也寻找request.user and request.user.is_authenticatedTrue 值。

问题2：如果令牌存储在httponly cookie中，如何将令牌作为授权标头从客户端传递？

请帮我。我对仅使用 http 的 cookie 的工作流程感到有些困惑，因为我通常将令牌存储在本地存储中，并且更容易检索令牌并从前端传递它。

由于无法读取 HttpOnly cookie，如何在前端使用 HttpOnly JWT cookie？

从 HttpOnly cookie 中获取 JWT 后存储 JWT 的最佳做法是什么？既然我已经从后端传递了cookie，我什至需要将它存储在某个地方吗？

我知道本地存储不安全。

我不知道这是否重要，但我正在 http://localhost:8080/ 上提供我的 Vue 应用程序，并且我正在使用 Node/Express 在 http://localhost:3000 上运行我的后端应用程序。

我正在使用 owasp zap 来检查我的 rails (v. 5.0.2) 应用程序安全性。有很多关于 cookie 的问题，例如“Cookie 没有 HttpOnly 标志”、“没有 SameSite 属性的 Cookie”、“没有安全标志的 Cookie”。我借助此代码（取自 rails 存储库中的建议之一）对此进行了猴子补丁

当我在浏览器中查看它时它可以工作（至少 chrome cookie 说'可访问脚本否（HttpOnly）'）但 owasp 仍然说它可用于 javascript。是的，我很确定这是相同的饼干。任何想法为什么会发生？

据我了解，客户端 js 无法读取 HttpOnly cookie，但它们由浏览器与任何后续请求一起传递。

如果攻击者能够将 js 注入网页并向端点发出请求，它仍然会通过，因为所有 cookie 都会传递，对吗？

HttpOnly cookie 的意义何在？

我正在积极尝试获取有关httpOnlycookie 的知识，并发现了很多关于它的文章，我们为什么要使用它。

但我还没有看到任何关于如何使用它的实际例子。通过几次试验和错误，我知道我们不能httpOnly在浏览器中设置标志，需要在服务器上完成。所以我cookie-parser相应地使用了库：

通过这个，我成功地获得了存储在我的浏览器中的 cookie 以及所有的属性，比如sameSite，HttpOnly除非secure:true我在本地主机上。但问题是我们无法使用httpOnlyjavascript 访问这些令牌，如何将其发送到具有正确标头的特定路由，如下所示

并发送 httpOnly cookierefreshToken让我们说/refreshRoute 以使用 Axios 获取新accessTokens信息，或者这样做的方式是什么？

我有一个网站，当用户登录时，它会创建一个存储在内存中的访问令牌和一个存储在 HttpOnly cookie 中的刷新令牌。当用户注销时，我想删除 HttpOnly cookie。但是，由于它是 HttpOnly，我无法使用 JavaScript 执行此操作，因此我的计划是从过期的服务器发送另一个 cookie 并覆盖有效的 cookie。不幸的是，由于某种原因，这不起作用。

这就是我首先创建cookie的方式：

这会按预期工作并创建一个有效期为一周的刷新 cookie。

我有另一个端点 (/logout) 创建另一个 cookie，假设它会覆盖第一个。

当第一个客户端未设置时，此 cookie 甚至不会保存到前端。我试图从设置第一个 cookie 的子路径发送它，但没有运气。有什么我在这里想念的吗？这是错误的方法吗？

Chrome 不会存储我们在服务器端设置的 cookie，除非这些设置是在 Chrome 中设置的。如果用户禁用了 chrome 浏览器的 cookie 设置。我用 http only cookie 制作的身份验证系统对用户不起作用，我不知道该怎么做。我们可以从这些用户那里获得设置 cookie 的许可吗？

*require('cookie-parser') 已导入

我有一个使用 Reactjs 作为客户端和 node express 作为服务器端的应用程序。我在服务器的标题中发送烹饪，cookie 显示在浏览器上，但它们没有被保存，但它们被保存了我使用 Insomnia 我已经阅读了很多关于此的问题和答案，但实际上并没有解决问题。下面是我的设置

** 客户端示例代码 ----------- **

** 服务器端索引文件 ------------ **

** 服务器端路由器文件 ----------- **

我尝试过的其他事情

在阅读了类似的问题后，一些建议设置 //axios.defaults.withCredentials = true,但每次我都会有一个 cors 错误，即使我已经如图所示进行了 cors 配置，尽管我已经withCredentials: true在配置中添加了。我也使用了这个cors 扩展，但 cookie 仍然没有保存在浏览器上。

你认为是什么导致他们不保存，我能做些什么来解决它？谢谢你的时间。