本文已参与「新人创作礼」活动,一起开启掘金创作之路
HttpOnly 是包含在 Set-Cookie HTTP 响应标头中的附加标志。 在生成 cookie 时使用 HttpOnly 标志有助于降低客户端脚本访问受 保护 cookie 的风险(如果浏览器支持)
Set-Cookie: <name>=<value>[; <Max-Age>=<age>]
`[; expires=<date>][; domain=<domain_name>]
[; path=<some_path>][; secure][; HttpOnly]
使用 HttpOnly 缓解最常见的 XSS 攻击
根据Microsoft 安全 Windows 计划组的高级安全项目经理Michael
Howard 的说法,大多数 XSS 攻击的目标是窃取会话 cookie。
服务器可以通过在它创建的 cookie 上设置 HttpOnly
标志来帮助缓解这个问题,指示 cookie 不应在客户端上访问
