问题标签 [cookie-httponly]

如果我错了，请纠正我，但 cookie 只是特殊的Set-Cookie:标题，对吗？也许我错过了一些东西，但对我来说似乎总是如此。如果我设置了 Rails API 应用程序并希望支持发送 HTTPOnly cookie（例如，标头还假设我有 CORS 和客户端设置上的所有内容等）我应该能够正确地做到这一点吗？

基本上，我的问题是：

1. 带回ActionDispatch::Cookies我的中间件并添加include ::ActionController::Cookies我的应用程序控制器是否完全违背了 API 应用程序的目的？
2. 如果是这样，我可以手动通过标头发送 HTTPOnly cookie 吗？
3. 如果是这样，手动管理 cookie 标头是否更麻烦？如果我真正需要做的只是发送一个 HTTPOnly 刷新令牌，那么我是否将 cookie 中间件排除在外来权衡手动处理它们？

我有一个快速节点服务器。我只通过 httpOnly cookie 发送 JWT 访问令牌作为响应，还发送一个 JWT 刷新令牌。在浏览器中使用它时，该刷新令牌会随每个后续请求自动发送。

但是当我尝试在 react native 项目中使用它时，httpOnly cookie 不会自动保存在应用程序中，服务器也不会通过 api 请求获取任何 cookie。我认为没有地方可以将 httpOnly cookie 保存在 react-native 中。有人建议我将其保存在 AsyncStorage 中，但由于它是 httpOnly cookie，我无法通过 javascript 读取它，因此无法将其保存到任何地方。

做本机反应不保存或处理http-only cookie ??

我想知道 HttpOnly cookie 和 Signed cookie 之间的区别。

注意：我不是在谈论带有安全标志的 cookie。

据我所知，HttpOnly 告诉浏览器 cookie 只能由服务器访问。并且签名的 cookie 与签名一起发送，并检测 cookie 是否被修改。

如果使用 HttpOnly 确保 cookie 是只读的并且不能被脚本访问，那么我为什么要对该 cookie 进行签名呢？

而且，如果需要其中之一，那么哪个更好？

预期的生产环境将使用 AWS EKS nginx 入口控制器，因此最好不需要定制的 nginx 构建。

对于本地开发，已经安装了 docker 镜像https://hub.docker.com/r/lautre/nginx-cookie-flag ，它应该预先安装了 cookie-flag 模块。https://geekflare.com/httponly-secure-cookie-nginx/示例中建议的两种方法 都已尝试，但似乎不起作用：

和

具体来说，令牌“atlassian.xsrf.token”从未签名为 HttpOnly，这是从 Web 应用程序https://confluence.atlassian.com/adminjiracloud/using-the-issue-collector-776636529 中的 jira 插件生成的。 html

问题：

1. 找到的大多数示例都与上述相同，外部模块是唯一可用的解决方案吗？
2. nginx plus 版本是否有这个模块，默认允许引用？

我需要编辑本地存储的 HtppOnly cookie，因为我的 java 程序没有浏览器功能，因此我打算将其用于浏览器以查看和管理相同的功能。document.cookie但是现在远程服务器已经更新，他们使用 HttpOnly cookie（出于安全原因），函数或任何其他js代码都无法读取这些 cookie 。所以我想尝试编写 chrome 扩展，但在此之前我需要了解EditThisCookie的后台进程，因为我可以通过这个扩展编辑 cookie 的值。

所以现在我的问题是从这里开始。我从 github 寻找源代码，但在跟踪extensions apply click functions找到它的后台进程后，但它使用 jquery 调用（我真的不明白所有代码是做什么的以及它是如何运行的，所以我需要你的帮助）它做了一些事情，我想知道什么就是它。之后我可以编写自己的代码。谢谢。

我正在使用带有 Angular 9 的 Spring Boot 和 STATELESS 会话实现。该应用程序正在成功执行登录和注册功能。字符串引导会在每个登录请求上生成令牌（JWT）。登录后，当我尝试运行第二个 TAB 的应用程序时，它再次要求我登录。为了克服这个问题，我将令牌保存在 Localstorage 中，然后在单击另一个 TAB 时，角度代码能够从 Localstorage 中选择令牌。但经过一些研发后，我知道应该使用 HTTPOnly Cookie 来代替 Localstorage。有人可以帮助我在 Angular 9 和 Spring Boot 中使用仅限 HTTP 的 cookie。谢谢

发出访问和刷新令牌时，我将它们发送到前端httpOnly = true。我创建了一个中间件类，它检查访问令牌是否已过期以及刷新令牌是否尚未过期。如果两者都是这种情况，我将使用 refresh_token 作为 grant_type 调用 oauth/token 路由。

所有这些都有效，但是我不确定如何在控制器中使用经过身份验证的用户。现在我已经设置了中间件，当有响应时它会发送新的访问和刷新令牌。

现在在控制器内部，如果我想访问已登录的用户，我总是得到 null 作为响应：

在控制器的构造方法内部：

有谁知道如何处理这个用例？

我编写了这条规则来为每个 cookie 添加 httpOnly 标志，但结果是.

规则有什么问题？标头编辑 Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"

[编辑] 我尝试在后端进行这种处理，但它使用的是 servlet 2.4 和 jboss4。但最低要求是 servlet 3.0

我将 httpOnly Cookies 发送到我的前端，如下所示

我的前端在另一个域上，但我使用 cors 包启用了 cors 策略，但由于某种原因，cookie 没有在以下请求中发送回我的后端。自从我尝试打印从我的前端发送的 cookie 后，我发现了这一点。

我已经搜索了两天，但没有找到任何有用的信息，任何帮助将不胜感激。

当从另一个客户端（例如 2 个不同的浏览器）到达服务器时，有什么方法可以删除或过期存储在客户端中的 httpOnly cookie？

我想创建一个“全部注销”按钮，从每个设备上注销用户，现在我将 cookie 存储在数据库中，并在用户单击“全部注销”时将它们从数据库中删除，然后我仅在以下情况下进行身份验证cookie 存储在数据库中。这种方法够吗？它有任何安全问题吗？