HttpOnly可以预防XSS攻击的原因,HttpOnly表示cookie只能被服务端访问,不能使用js脚本访问,所以xss不能通过Javascript获取到用户的cookie。
但是对于CSRF攻击来说,它只是在一个正常网站保持登录状态时,通过诱导用户点击恶意网站,恶意网站向服务器发送请求,会使得浏览器携带cookie值发送服务器,从而伪装成用户,但是不需要读取cookie的值,所以不能防止CSRF。
通常,CSRF的症结在于他们不需要读取用户的cookie,他们只需要用户的浏览器将关联的cookie连同网络请求,他们强迫它发送。但是,httpOnly标志确实提供了价值,因为它防止客户端访问这些cookie。
