防止XSS攻击
Cookie 的HttpOnly属性
Cookie 的HttpOnly属性是Cookie的扩展功能,它使JavaScript脚本无法获得Cookie。其主要目的为防止跨站脚本攻击(Cross-site scripting, XSS)对Cookie的信息窃取。
发送指定HttpOnly属性的Cookie的方法如下所示:
Set-Cookie: name=value; HttpOnly
通过上述设置,通常从Web页面内还可以对Cookie进行读取操作。当使用JavaScript的document.cookie就无法读取附加HttpOnly属性后的Cookie的内容了。因此,也就无法在XSS中利用JavaScript劫持Cookie了。
如果本文对你有帮助,请大佬打赏。