Как правильнее устанавливать куки?

Question

[connecter]

Вопрос следующий, при отправке запроса на сервер и успешном ответе, в ответе возвращать значение куки и устанавливать значение на клиенте через document.cookie или в самом ответе указать, что необходимо установить куки через res.cookie(...)?

Answer 1

[Антон Спирин]

Смотря что вы собрались туда писать и смотря где эти данные нужны.
Если это данные которые используются только клиентом и сервер их никак не использует, то лучше через document.cookie. Если наоборот, то res.cookie.
Токен и прочие конфидециальные данные для идентификации, по-хорошему, писать в HttpOnly cookie на сервере.

Comments

[connecter]

А если это, к примеру, токен пользователя, который отправляется при каждом действии, где он должен храниться?

[Антон Спирин]

connecter, ну в вашем случае без передачи на клиент не обойтись. Изучайте вопрос. Тут однозначного решения нет. В зависимости от требований к безопасности решение может быть как технически очень простым так и сложным.
Просто имейте ввиду, что если вы просто будете хранить токен в localStorage или не HttpOnly cookie, то его можно будет угнать с помощью простого браузерного расширения или других дыр, при их наличии.

[connecter]

Спасибо