设置NodeJS cookie头的HttpOnly属性

Art*_*tur 7 cookies http node.js

我正在试图找出如何为set-cookie标头设置HttpOnly属性,特别是对于本机NodeJS.

现在,我有这个代码,但它不起作用,因为我仍然可以使用客户端javascript访问cookie.

response.setHeader('Set-Cookie', ['HttpOnly']);
Run Code Online (Sandbox Code Playgroud)

sha*_*ncs 17

要设置cookie,您需要指定代码中缺少的cookie名称和值.这就是为什么它不起作用.示例代码是:

response.setHeader('Set-Cookie', 'foo=bar; HttpOnly');
Run Code Online (Sandbox Code Playgroud)

如果你想设置多个cookie,一些有HttpOnly,有些没有.代码是:

response.setHeader('Set-Cookie', ['foo=bar; HttpOnly', 'x=42; HttpOnly', 'y=88']);
Run Code Online (Sandbox Code Playgroud)

根据Node.js HTTP文档,没有全局HttpOnly配置,这是有道理的,因为通常您可能需要一些cookie客户端可读.