原创文章,不得转载。
HTTP Only
HTTP Only 是一个用于设置 HTTP Cookie 的属性,它可以防止通过 JavaScript 访问该 Cookie。当将 Cookie 标记为 HTTP Only 后,浏览器将只允许在 HTTP 请求中发送该 Cookie,而禁止在客户端的 JavaScript 中进行访问。
在一定程度上,HTTP Only可以减少 XSS 攻击的潜在危害。
HTTP Only设置:
向客户端发送 sessionID 值为 13sv3sfaz579 的 Cookie,并设置 HTTP Only 属性:
response.setHeader('Set-Cookie', 'sessionID=13sv3sfaz579; HttpOnly');
如图,当设置HttpO