Pracuję nad aplikacją RESTful SPA przy użyciu angularJS. Obecnie początkowe wywołanie REST ustawia ciasteczko „token”xyz.com (zabezpieczony plik cookie odpowiedzi) po udanym zalogowaniu użytkownika. Nie mogę odczytać tego pliku cookie w Javascript / angular, ponieważ pracuję nad localhost.

Co tu rozumiem, chyba że uruchomię tę aplikację z xyz.com, nie będę mógł uzyskać dostępu do tego pliku cookie LUB czy potrzebuję bezpiecznego połączenia?

Czy moje zrozumienie jest prawidłowe?

Po drugie, moje zrozumienie „httponly” jest takie, że nie będzie ono dostępne z javascript, nawet jeśli jesteś na tym samym hoście.

Proszę poprawić moje zrozumienie.