我有一个cookie 不能通过JavaScript HttpOnly设置此cookie HttpOnly吗?
Bal*_*usC 122
一个HttpOnly饼干意味着它不能提供给脚本语言如JavaScript.所以在JavaScript中绝对没有API可用于获取/设置HttpOnlycookie 的属性,否则会破坏其含义HttpOnly.
只需使用服务器端使用的任何服务器端语言在服务器端设置它.如果JavaScript是绝对必要的,你可以考虑让它发送一些(ajax)请求,例如一些特定的请求参数,它触发服务器端语言来创建一个HttpOnly cookie.但是,这仍然可以让黑客HttpOnly通过XSS 轻松更改,并且仍然可以通过JS访问cookie,从而使HttpOnly你的cookie完全没用.