Я вижу, что HttpOnly файлы cookie полезны для безопасности, однако они делают невозможным выход из системы без взаимодействия с сервером, верно? ?1 Таким образом, при сбое сети вы не можете выйти из системы и уйти. Я могу представить себе обходной путь, но сначала я хотел бы спросить
1 Если вы действительно их используете.
Если под выходом вы подразумеваете удаление файла cookie сеанса, то нет, вы не можете удалить файлы cookie HttpOnly из Javascript. Однако легко настроить два файла cookie, один HttpOnly и один небезопасный, чтобы только их комбинация была действительным ключом сеанса. Удаление любого файла cookie приведет к уничтожению сеанса.
Если ваша служба конфиденциальна, имеет смысл обрабатывать все реалистичные сценарии угроз, и этот довольно реалистичен.
Настройка двух файлов cookie, один из которых HttpOnly, на самом деле распространена в стандартной технике предотвращения CSRF. Я не видел этого в вашем конкретном сценарии, но он очень похож на случай анти-CSRF и выглядит как очевидное и простое применение общей идеи двух файлов cookie.
