Innanzitutto, non è possibile accedere al mio sito Web senza una sessione stabilita. Dopo aver stabilito una sessione, il server imposterà i cookie. Tuttavia, se valuto il sito Web senza una sessione, il mio sito visualizzerà una pagina di disconnessione. In questo caso, il server deve impostare HttpOnly o il flag di sicurezza nella risposta?
Grazie
Devi sempre impostare il cookie come HTTPOnly se il tuo cookie contiene informazioni sensibili (come informazioni personali, informazioni relative alla sessione, identificatore di sessione ecc.). Questo impedisce a JavaScript di accedere a questo cookie in caso di un bug XSS nel tuo sito web.
Per quanto riguarda il flag di sicurezza, è necessario impostare l'attributo del cookie SECURE se i client comunicano con il server su HTTPS. Ciò impedisce al client di inviare il cookie su comunicazioni non HTTPS.
Leggi altre domande sui tag http webserver web-application