Http_only cookies will be sent with AJAX?

Question

11 浏览2023年1月28日

匿名的 2023年1月28日

0 Comments

我找到了这个链接，但底部写着这些信息可能已经不再准确。所以我的问题是，HttpOnly cookie会随着AJAX请求发送吗？AJAX响应能否设置HttpOnly cookie？

编辑1：假设用户登录到系统中，他的会话开始并设置了HttpOnly cookie。他尝试通过AJAX获取他的好友列表并发送JSON。在进行AJAX请求时，我需要特别指定发送cookie还是不发送吗？每个请求默认会发送cookie到服务器吗？响应会返回cookie吗（比如我更新用户的最后活动时间）？

0

匿名的 · Answer 1 · 2023-08-30T07:18:43+00:00

问题的出现原因：HttpOnly使得cookies在document.cookie和XMLHTTPRequest.getAllResponseHeaders中不可见，但并不会阻止它们随着HTTP请求一起发送，除了跨域的HTTP请求除外。

解决方法：没有特别的解决方法，因为HttpOnly的目的是为了增加安全性，防止客户端脚本通过document.cookie获取cookie信息。如果需要在AJAX请求中发送cookie，可以考虑使用其他方法，如将cookie信息作为请求的参数或者在请求头中自定义添加cookie信息。