set-cookie 设置 httpOnly 可以保证每次都能收到cookie且正确吗
2 回答
慕桂英3389331
TA贡献2036条经验 获得超8个赞
在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击。与是否收到cookie并没有直接关系,但可以保证客户端的js无法修改cookie。
弑天下
TA贡献1818条经验 获得超8个赞
httpOnly 的最常见应用场景,即防止网站被 XSS 攻击攻破后,利用 javascript 获取 cookie 中的敏感信息。
所以,它主要是用来禁止 javascript 读取 cookie。
一般由后台在 http 头里设置 cookie 时启用 httpOnly 。
添加回答
举报
0/150
提交
取消