我在 OIDC 反向代理后面有一個 Web 應用程序 - 換句話說，當我訪問此應用程序時，我會被重定向到我的身份提供商，我登錄并且我的瀏覽器設置一個 cookie，該 cookie 用于后續請求以證明我已登錄在。此 cookie 設置了HttpOnly標志，我認為這是防止惡意網站利用 XSS 漏洞的最佳實踐。但是，正如預期的那樣，我的應用程序中的 Javascript 無權訪問登錄 cookie，因此在瀏覽器的控制臺中，我看到返回應用程序的請求（嘗試通過 HTTP 請求和 websocket 連接更新動態內容）被重定向到我的身份提供商（并被 CORS 策略阻止），因為他們無權訪問登錄 cookie。這是否意味著這樣的架構無法使用Javascript回調應用程序？在這種情況下，禁用 HTTPOnly 標志以允許 Javascript 工作是否很常見？我的理解是，來自不同來源的惡意網站嘗試訪問我的應用程序的 Javascript 無論如何都會被 CORS 阻止，因此保留 HTTPOnly 標志是否只能幫助抵御攻擊者設法將 Javascript 注入到我的應用程序中的攻擊？