Mientras leía "Web enredada" encontré una descripción de las cookies http solo y quería probarla en mi proyecto, así que agregué estas configuraciones de acuerdo con docs :
CSRF_COOKIE_HTTPONLY = True
SESSION_COOKIE_HTTPONLY = True
Y fui a la consola a sumergirme en ella. Como era de esperar, no se mostró ningún token csrf o cookie de sesión cuando ejecuté algunos JS:
> document.cookie
"djdt=hide"
Sin embargo, tengo AJAX ejecutando en segundo plano el sondeo de algunos datos del servidor que comienzan con:
function doPoll() {
$.get(predefinedUrl){
(...)
Y parece que de alguna manera tiene acceso a estos datos: .
Mispreguntasson:¿Cómoesaccesibleestainformación?¿Essuficientequeestescripthagaunasolicitudamisitioyqueelnavegadorseencarguedelresto(comolohaceencasos"normales")? ¿Significa que debería poder activar de forma segura esta marca de solo http de forma predeterminada y no preocuparme de que los scripts frontend no puedan realizar solicitudes? ¿Hay algo por lo que debería prestar atención?