2 个回答

httponly为true的cookie是禁止js访问和操作的,只能随请求一并发出,由服务端读取和操作。
这么做的主要原因是出于安全。可以防止js中的恶意内容窃取重要cookie,比如说sessionID。如果sessionID没设httponly,而你的网站又由于引用了不安全的插件或者被xss攻击等原因存在恶意第三方代码,第三方代码读一下sessionID后发往攻击者服务器,攻击者就可以劫持会话了。

1、可能cookie的secure设置成true了,这样只能在https下读取,http下不能读取。
2、HttpOnly Cookie对js是无效的
补充一篇文章:
全面解读HTTP Cookie

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进