通过document.cookie拿不到截图中的sessionID;但是能取到csrfTOKEN;
仔细看图
这个sessionID的HTTP状态打了勾,则表示HttpOnly,当这个值设为true时,浏览器是无法读取这个cookie值的,只有服务端能够读取。前端不能拿取,这是为了防止xss攻击;
尝试修改这个值,之后接口请求都会报错为未登录状态;
所以,这个值是不让在前端getter,setter;
详细的cookie参数如下:
- name: cookies的名字,也是cookies的唯一标识,通过他来获取和设置cookies
- value:cookies的值,也就是cookies的内容,这是cookies有用的内容
- omain:cookies所属的域
- Path: cookies所属的路径,他是属于某个路径的,/代表根路径
- expires:cookies的到期时间,如果为0则永不过期
- http: 如果打钩则通过脚本无法获取,可以防止xss攻击
- secure:https连接才会传送该cookies,增强了安全性
- sameSite:可选值Strict 和 Lax,Strict 严格模式,不能被第三方网站获取,Lax:宽松模式,可以被第三方获取