Cookie di sessione ".AspNetCore.Cookies" non in HttpOnly

[marco-maroni-spot-software]

Salve, c'è un motivo per cui il cookie di sessione viene impostato senza l'attributo "HttpOnly"? Essendo un cookie di sessione per ragioni di sicurezza dovrebbe essere impostato oltre che con "secure" anche con l'attributo "HttpOnly", teoricamente.

Anche se questa modifica andrebbe in conflitto con il workaround che ho implementato per questa issue, ossia pulendo quel cookie via javascript, cosa che non sarebbe possibile se fosse impostato on "HttpOnly".

Vorrei solo capire quale è l'approccio più sicuro.

Grazie

[danielegiallonardo]

Salve, no, non c'è un motivo specifico, è probabile che questa valutazione sia sfuggita in fase di prima implementazione. Ad ogni modo è possibile che l'introduzione di questo parametro possa andare a rompere qualche integrazione esistente (ad esempio quella che hai riportato tu), che si appoggia sull'assunto che i contenuti del cookie siano accessibili lato client. Eventualmente è possibile introdurre questa modifica per una versione major, ma bisognerebbe valutarne i benefici effettivi.