我的Cookie不是HttpOnly我可以通过JavaScript将此Cookie设置为HttpOnly吗?
答案 0 :(得分:99)
HttpOnly Cookie意味着JavaScript的脚本语言可以 。所以在JavaScript中绝对没有可用于获取/设置cookie的HttpOnly属性的API,因为否则会破坏HttpOnly的含义。
只需使用服务器端使用的任何服务器端语言在服务器端设置它。如果JavaScript是绝对必要的,你可以考虑让它发送一些(ajax)请求,例如一些特定的请求参数,它触发服务器端语言来创建HttpOnly cookie。但是,这仍然可以让黑客通过XSS轻松更改HttpOnly并仍然可以通过JS访问cookie,从而使您的cookie上的HttpOnly完全无用。