set-cookie 设置 httpOnly 可以保证每次都能收到cookie且正确吗?

2回答

慕桂英3389331

在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。与是否收到cookie并没有直接关系，但可以保证客户端的js无法修改cookie。

0

0

0

弑天下

httpOnly 的最常见应用场景，即防止网站被 XSS 攻击攻破后，利用 javascript 获取 cookie 中的敏感信息。所以，它主要是用来禁止 javascript 读取 cookie。一般由后台在 http 头里设置 cookie 时启用 httpOnly 。

0

0

0