JwtAuthProvider Ausgabe bearToken in Antwort-Header, die nicht Httponly ist - ServiceStack

Question

Ich habe ServiceStack AllowNonHttpOnlyCookies auf true gesetzt:

Config.AllowNonHttpOnlyCookies = true; 

Das Httponly von einem Set-Cookie in der Antwort-Header entfernt hat:

Ich möchte httponly für den Set-Cookie-Antwortheader für "ss-Tok" entfernen.

Ich habe die Optionen für JwtAuthProvider angeschaut und habe nichts gefunden.

Hier ist meine AuthFeature Konfiguration:

 Config.AllowNonHttpOnlyCookies = true; 

     Plugins.Add(new AuthFeature(() => new CustomUserSession(), 
      new IAuthProvider[] { 
       new JwtAuthProvider 
       { 
        HashAlgorithm = AuthSettings.HashAlgorithm, 
        RequireSecureConnection = requireSecureConnection, 
        AuthKeyBase64 = AuthSettings.JwtAuthKeyBase64, 
        ExpireTokensIn  = TimeSpan.FromHours(_configuration["AuthSettings:ExpireTokensIn"].ToDouble()), 
        ExpireRefreshTokensIn = TimeSpan.FromHours(_configuration["AuthSettings:ExpireRefreshTokensIn"].ToDouble()), 
        CreatePayloadFilter = (payload,session) => { 
          payload["zipCode"] = ((CustomUserSession)session).ZipCode; 
        }, 
        PopulateSessionFilter = AuthSettings.PopulateSessionFilterImplementation 
       }, 
       new CustomCredentialsAuthProvider(HostContext.Resolve<ITsoContext>()) //HTML Form post of User/Pass 
      })); 

P. S .: Ich nicht hohe Sicherheitsbedenken für diese Anwendung

Answer 1

JWT Token Cookies, um die recommended httpOnly for JWT Cookies by design verwenden Sie XSS-Angriffe zu verhindern, ist es nicht außer Kraft gesetzt werden.