En primer lugar, no se puede acceder a mi sitio web sin una sesión establecida. Después de establecer una sesión, el servidor establecerá las cookies. Sin embargo, si evalúo el sitio web sin una sesión, mi sitio mostrará una página de cierre de sesión. En este caso, ¿el servidor necesita establecer HttpOnly o el indicador de seguridad en la respuesta?
Gracias
Siempre debe configurar la cookie como HTTP Solo si su cookie contiene información confidencial (como información personal, información relacionada con la sesión, identificador de sesión, etc.). Esto evita que JavaScript acceda a esta cookie en caso de un error XSS en su sitio web.
En lo que respecta al indicador de seguridad, debe establecer su atributo de cookie SEGURA si sus clientes se comunican con el servidor a través de HTTPS. Esto evita que el cliente envíe su cookie a través de comunicaciones que no sean HTTPS.
Lea otras preguntas en las etiquetas web-application http webserver