JwtAuthProvider問題bearToken - ServiceStack

Question

私がtrueにServiceStack AllowNonHttpOnlyCookiesを設定している：

Config.AllowNonHttpOnlyCookies = true; 

これは、レスポンスヘッダにいくつかのSet-CookieからHttpOnlyのを削除しました：

"ss-tok"のSet-Cookieレスポンスヘッダーのhttponlyを削除したいと思います。

私はJwtAuthProviderのオプションを見て、何も見つかりませんでした。

 Config.AllowNonHttpOnlyCookies = true; 

     Plugins.Add(new AuthFeature(() => new CustomUserSession(), 
      new IAuthProvider[] { 
       new JwtAuthProvider 
       { 
        HashAlgorithm = AuthSettings.HashAlgorithm, 
        RequireSecureConnection = requireSecureConnection, 
        AuthKeyBase64 = AuthSettings.JwtAuthKeyBase64, 
        ExpireTokensIn  = TimeSpan.FromHours(_configuration["AuthSettings:ExpireTokensIn"].ToDouble()), 
        ExpireRefreshTokensIn = TimeSpan.FromHours(_configuration["AuthSettings:ExpireRefreshTokensIn"].ToDouble()), 
        CreatePayloadFilter = (payload,session) => { 
          payload["zipCode"] = ((CustomUserSession)session).ZipCode; 
        }, 
        PopulateSessionFilter = AuthSettings.PopulateSessionFilterImplementation 
       }, 
       new CustomCredentialsAuthProvider(HostContext.Resolve<ITsoContext>()) //HTML Form post of User/Pass 
      })); 

P.S：私は

Answer 1

JWTトークンクッキーはXSS攻撃を防ぐためにrecommended httpOnly for JWT Cookies by designを使用して、このアプリケーションのための高セキュリティ上の懸念を持っていない、それはオーバーライドではありません。

は、ここに私のAuthFeature構成です。