set-cookie 设置 httpOnly 可以保证每次都能收到cookie且正确吗

set-cookie 设置 httpOnly 可以保证每次都能收到cookie且正确吗

阅读 11k
3 个回答

在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。与是否收到cookie并没有直接关系,但可以保证客户端的js无法修改cookie。

设置这个只是让JavaScript无法读取到cookie而已。

httpOnly 的最常见应用场景,即防止网站被 XSS 攻击攻破后,利用 javascript 获取 cookie 中的敏感信息。

所以,它主要是用来禁止 javascript 读取 cookie。

一般由后台在 http 头里设置 cookie 时启用 httpOnly 。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
宣传栏