>我找到了这个链接
但在底部它说此信息可能不再是最新的。所以我的问题是,http_only cookie 会使用 AJAX 发送吗?通过 AJAX 的响应可以设置http_only cookie 吗?
编辑 1:假设用户登录到系统。他的会话开始了http_only饼干设置好了。他尝试通过AJAX获取他的朋友列表并发送JSON。在发出 AJAX 请求时,我是否需要特别说明以发送 cookie?默认情况下,每个请求都会将 cookie 发送到服务器吗?响应会发回 cookie(假设我正在更新用户上次活动的时间(?
是的,他们会的。
该HttpOnly使饼干不会出现在document.cookie和XMLHTTPRequest.getAllResponseHeaders中。它不会阻止它们与 HTTP 请求一起发送,但跨域 HTTP 请求除外(听起来不像您在这里使用