Javascript 为什么不总是使用HTTPOnly和安全cookie标志？_Javascript_Security_Cookies_Https_Xss

Javascript 为什么不总是使用HTTPOnly和安全cookie标志？

javascript security cookies https

Javascript 为什么不总是使用HTTPOnly和安全cookie标志？,javascript,security,cookies,https,xss,Javascript,Security,Cookies,Https,Xss,安全cookie标志停止通过HTTP发送cookie。HTTPOnly标志阻止JavaScript访问Cookie 只有HTTPS的站点总是使用安全的和只有HTTPS的cookies，这是一个现实的指导方针吗？混合使用HTTPS和HTTP站点如何？缺点是什么显然，如果您的HTTPS和HTTP页面都需要cookie，并且站点需要JavaScript访问才能正常工作，那么您就不能使用这些标志，但是一个设计良好的站点是否需要这样做呢只有HTTPS的站点总是使用安全的和只有HTTPS的cookies

安全cookie标志停止通过HTTP发送cookie。HTTPOnly标志阻止JavaScript访问Cookie

只有HTTPS的站点总是使用安全的和只有HTTPS的cookies，这是一个现实的指导方针吗？混合使用HTTPS和HTTP站点如何？缺点是什么

显然，如果您的HTTPS和HTTP页面都需要cookie，并且站点需要JavaScript访问才能正常工作，那么您就不能使用这些标志，但是一个设计良好的站点是否需要这样做呢

只有HTTPS的站点总是使用安全的和只有HTTPS的cookies，这是一个现实的指导方针吗

对

混合使用HTTPS和HTTP站点如何

不要创建混合的HTTPS/HTTP站点。只是…不要

CPU不再如此昂贵，以至于到处使用HTTPS都是一种严重的开销。搜索引擎仅将HTTPS视为积极的排名指标

缺点是什么

没有

如果确实需要从纯HTTP或JS访问cookie，则可以关闭该设置。这就是指导方针的要点，如果有充分的理由，你可以打破指导方针。这种情况很少发生。

在信息安全stackexchange网站上也有类似的情况。Jonathan的回答包括以下内容：“仅对于HTTP，您可能希望javascript与cookie交互。可能您跟踪cookie中的页面状态，使用JS写入cookie，然后从JS读取。”换句话说，如果您希望在使用cookie的会话中维护用户的UI首选项，HTTPOnly可以进行干预。

我的意见是：不要混合，随时随地使用HTTPS。如果你知道有多少MITM攻击，你会感到惊讶。一些JavaScript功能被推到只使用HTTPS的模式，比如getUserMedia和geolocation。http sitesOK将无法使用它们，但对于混合使用http和HTTPS的站点，您有何建议？无论出于什么原因，很多网站仍然坚持这样做，所以我想知道cookie标志在这种情况下也是如何使用的。值得一读——这也是为什么你需要使用HTTPS进行公平评估的原因，我想说，坚持HTTP和HTTPS混合使用的网站（无论出于什么原因），安全标志意味着您不能在不同协议的页面之间共享登录或设置。有没有一个现实的例子，当您需要从JS访问cookies时，您无法彻底解决这个问题？