在我的 iOS 应用程序中，是不是有任何理由为会话 cookie 设置 HttpOnly 和 Secure 标志？

Posted 2023-02-23

【中文标题】在我的 iOS 应用程序中，是不是有任何理由为会话 cookie 设置 HttpOnly 和 Secure 标志？

【英文标题】：In my iOS app, is there any reason to set the HttpOnly and Secure flags for the session cookie?在我的 iOS 应用程序中，是否有任何理由为会话 cookie 设置 HttpOnly 和 Secure 标志？

【发布时间】：2013-05-15 23:23:48

【问题描述】：

我知道 Web 应用程序为会话 cookie 设置 HttpOnly 和 Secure 标志是一种很好的安全做法，但我不相信这对于用本机代码编写的 ios 应用程序是必要的（换句话说 - 没有 javascript正在使用）。

由于没有使用 Javascript，由于未设置 HttpOnly 标志，是否有任何方法可以访问会话 cookie？

如果应该设置标志，那么最好的方法是什么？

谢谢。

【问题讨论】：

如你所说。这些标志与 JS 相关。原生应用不会使用 JavaScript，对吧？

【参考方案1】：

如果您的用户只使用原生 iOS 应用而不是 Web 浏览器，那么您不需要设置这些标志，只要原生应用知道安全地处理 cookie。这些标志旨在向客户端应用程序（通常是 Web 浏览器）指示它应该只在某些条件下提交 cookie，通常是连接使用https。仅在适当的时候提交 cookie 将是本机应用程序的责任。如果存在 cookie 将不安全处理并且可能存在歧义的情况，那么您应该使用它们。

无论如何，我会将它们用于未来的兼容性，以及它们易于设置的事实。很有可能现在无关紧要，但您永远不知道未来会带来什么以及您的应用将如何发展。

【讨论】：

你在第二段卖了我。未来的兼容性！这个理由就够了。谢谢你的解释！