我有一个Cookie,是不是HttpOnly我可以设置这个cookie来HttpOnly通过JavaScript?
Answer 1:
一个HttpOnly饼干意味着它不适用于脚本语言如JavaScript。 所以在JavaScript中绝对没有API可用于获取/设置HttpOnly Cookie的属性,因为原本失败的意思HttpOnly 。
仅仅使用服务器端使用任何服务器端语言设置为这样在服务器端。 如果JavaScript是在这个绝对必要的,你可以考虑就让它发送一些(AJAX)请求,如与触发服务器端语言创建的HttpOnly cookie的一些特定的请求参数。 但是,仍然会使得黑客很容易改变HttpOnly仅通过XSS并且仍可以通过JS可以访问该cookie,从而使HttpOnly Cookie的完全无用的。
文章来源: Set a cookie to HttpOnly via Javascript
