在我的iOS应用中，是否有任何理由为会话cookie设置HttpOnly和Secure标志？

Question

我知道这是Web应用程序为会话cookie设置HttpOnly和Secure标志的一个很好的安全做法，但我不相信它是用本地代码编写的iOS应用程序所必需的（换句话说 - 没有Javascript是用过的）。

由于Javascript没有被使用，有没有什么办法有人可以访问会话cookie作为HttpOnly标志没有被设置的结果？

如果应该设置标志，那么执行此操作的最佳方法是什么？

谢谢。

Answer 1

如果您的用户只会使用本机iOS应用程序而不是Web浏览器，那么不需要设置这些标志，只要本机应用程序知道要安全地处理cookie即可。这些标志旨在向客户端应用程序（通常是网络浏览器）指示它应该只在特定条件下提交cookie，并且通过连接使用https。本地应用程序有责任在适当时仅提交cookie。如果在某些情况下，cookie将而不是安全地处理并且可能有歧义，那么您应该使用它们。

无论如何，我会将它们用于将来的兼容性，以及它们易于设置的事实。机会很好，现在也不重要，但你永远不知道未来会带来什么，以及你的应用会如何发展。正如你所说，