我在 OIDC 反向代理后面有一個(gè) Web 應(yīng)用程序 - 換句話說，當(dāng)我訪問此應(yīng)用程序時(shí)，我會被重定向到我的身份提供商，我登錄并且我的瀏覽器設(shè)置一個(gè) cookie，該 cookie 用于后續(xù)請求以證明我已登錄在。此 cookie 設(shè)置了HttpOnly標(biāo)志，我認(rèn)為這是防止惡意網(wǎng)站利用 XSS 漏洞的最佳實(shí)踐。但是，正如預(yù)期的那樣，我的應(yīng)用程序中的 Javascript 無權(quán)訪問登錄 cookie，因此在瀏覽器的控制臺中，我看到返回應(yīng)用程序的請求（嘗試通過 HTTP 請求和 websocket 連接更新動態(tài)內(nèi)容）被重定向到我的身份提供商（并被 CORS 策略阻止），因?yàn)樗麄儫o權(quán)訪問登錄 cookie。這是否意味著這樣的架構(gòu)無法使用Javascript回調(diào)應(yīng)用程序？在這種情況下，禁用 HTTPOnly 標(biāo)志以允許 Javascript 工作是否很常見？我的理解是，來自不同來源的惡意網(wǎng)站嘗試訪問我的應(yīng)用程序的 Javascript 無論如何都會被 CORS 阻止，因此保留 HTTPOnly 標(biāo)志是否只能幫助抵御攻擊者設(shè)法將 Javascript 注入到我的應(yīng)用程序中的攻擊？