将访问令牌存储在 httponly Cookie 中,但用户仍然可以在 Chrome 开发工具的网络选项卡中看到它?
Storing Access Token in httponly Cookie but user can still see it in Network tab of Chrome Dev Tools?
我正在使用 django 创建一个 python 后端,并将用户的访问令牌和刷新令牌存储在 httponly cookie 中,以便我可以验证对我的后端的请求。
1) 这是正确的方法吗?
2) 我知道 httponly 会阻止使用 'document.cookie' 查看 cookie,但您仍然可以通过分析 Chrome Dev Tools 中的网络选项卡来查看 cookie。这很好,因为只有用户可以看到它(而不是其他人)吗?或者这仍然很糟糕?
我无法权威地回答#1,但对我来说听起来不错。对于 #2,httponly 是为了保护 cookie 不被恶意代码抓取,而不是为了阻止用户在开发人员工具中找到它。即使它在“网络”选项卡中不可见,它也会在“应用程序”(或 Firefox 中的“存储”)下可见。这是有道理的,因为用户应该始终能够看到(和删除)个人 cookie,无论服务器如何定义它们。
我正在使用 django 创建一个 python 后端,并将用户的访问令牌和刷新令牌存储在 httponly cookie 中,以便我可以验证对我的后端的请求。
1) 这是正确的方法吗?
2) 我知道 httponly 会阻止使用 'document.cookie' 查看 cookie,但您仍然可以通过分析 Chrome Dev Tools 中的网络选项卡来查看 cookie。这很好,因为只有用户可以看到它(而不是其他人)吗?或者这仍然很糟糕?
我无法权威地回答#1,但对我来说听起来不错。对于 #2,httponly 是为了保护 cookie 不被恶意代码抓取,而不是为了阻止用户在开发人员工具中找到它。即使它在“网络”选项卡中不可见,它也会在“应用程序”(或 Firefox 中的“存储”)下可见。这是有道理的,因为用户应该始终能够看到(和删除)个人 cookie,无论服务器如何定义它们。