#keycloak
#keycloak
Вопрос:
Почему файл KEYCLOAK_SESSION cookie в Keycloak does не имеет HttpOnly флага, установленного на первом месте, по сравнению с другими файлами cookie?
Комментарии:
1. Я считаю, что это сделано специально. Я знаю об этой теме: lists.jboss.org/pipermail/keycloak-user/2017-September /… и я почти уверен, что видел эту дискуссию и совсем недавно, так что это все еще может иметь место.
Ответ №1:
Как упоминает @besverino в своем комментарии, KeyCloak не разрешает устанавливать KEYCLOAK_SESSION HttpOnly флаг, потому что KeyCloak должен получить доступ к файлу cookie из iFrame. Комментарий к этой части кода KeyCloak:
ЭТО НЕ ДОЛЖНО БЫТЬ ФАЙЛОМ COOKIE HTTPONLY! Он используется для поддержки сеансов Iframe OpenID Connect!
Ссылки: