Durante la lettura di "Web aggrovigliato" mi sono imbattuto nella descrizione dei cookie solo http e volevo provarlo nel mio progetto, quindi ho aggiunto queste impostazioni in base a docs :
CSRF_COOKIE_HTTPONLY = True
SESSION_COOKIE_HTTPONLY = True
E andò a console per immergersi in esso. Come previsto, nessun token csrf o cookie di sessione si sono presentati quando ho eseguito alcuni JS:
> document.cookie
"djdt=hide"
Tuttavia, ho AJAX in esecuzione in background che esegue il polling di alcuni dati dal server che iniziano con:
function doPoll() {
$.get(predefinedUrl){
(...)
E sembra che in qualche modo abbia accesso a questi dati:
.
Lemiedomandesono:comesonoaccessibiliquestidati?Èsufficientechequestoscriptfacciarichiestaalmiositoeilbrowsergestiscailresto(comesuccedeneicasi"regolari")? Significa che dovrei essere in grado di attivare in modo sicuro questo flag http solo per impostazione predefinita e non preoccuparti che gli script di frontend non saranno in grado di effettuare richieste? C'è qualcosa per cui dovrei prestare attenzione?