set-cookie 设置 httpOnly 可以保证每次都能收到cookie且正确吗
httpOnly 的最常见应用场景,即防止网站被 XSS 攻击攻破后,利用 javascript 获取 cookie 中的敏感信息。
所以,它主要是用来禁止 javascript 读取 cookie。
一般由后台在 http 头里设置 cookie 时启用 httpOnly 。
8 回答5.8k 阅读✓ 已解决
9 回答9.1k 阅读
6 回答4.7k 阅读✓ 已解决
4 回答13.1k 阅读✓ 已解决
5 回答3.5k 阅读✓ 已解决
5 回答7.7k 阅读✓ 已解决
12 回答5.8k 阅读
在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。与是否收到cookie并没有直接关系,但可以保证客户端的js无法修改cookie。