1. HttpOnly cookie
HttpOnly類型的Cookie不能使用Javascript通過Document.cookie屬性來訪問,從而能夠在一定程度上阻止跨域腳本攻擊(XSS)。當不需要在Javascript代碼中訪問Cookie時,可以將該Cookie設置成HttpOnly類型的。特別的,當cookie僅僅用於定義會話的情況下,最好給它設置一下HttpOnly標志。但HttpOnly標志並沒有提供額外的加密或者安全性上的能力,當整個機器暴露在不安全的環境時,切記決不能通過HTTP Cookie存儲、傳輸機密或者敏感信息。
2. javascript cookie
- 點擊F12,選擇Console選項,查看chrome瀏覽器端記住的cookie
document.cookie
"Hm_lvt_dfd480f265eedd102b7ba83f9826e877=1525407478; Hm_lpvt_dfd480f265eedd102b7ba83f9826e877=1525488053"
- 使用javascript新增cookie
document.cookie = "111"
"111"
- 再次查看cookie
document.cookie
"Hm_lvt_dfd480f265eedd102b7ba83f9826e877=1525407478; Hm_lpvt_dfd480f265eedd102b7ba83f9826e877=1525488053; 111"