.jpg)
防止XSS攻击,浏览器不提供JavaScript访问cookie,减少信息泄露风险。
.jpg)
设置cookie的HttpOnly属性后,这个cookie就不能通过客户端脚本(比如JavaScript)访问。简单来说,就是浏览器端的JavaScript不能读取带有HttpOnly属性的cookie。这么做的目的是为了增强网站的安全性,防止像XSS(跨站脚本攻击)这样的攻击。
大白话解释:
- HttpOnly一加,JavaScript就看不见这个cookie了。
- 保护网站不被恶意脚本利用,更安全。
.jpg)
设置cookie的httponly属性主要是为了增强网站的安全性。其实很简单,这事复杂在它限制了JavaScript对cookie的访问,从而减少了XSS攻击的风险。
先说最重要的,httponly属性的作用是阻止通过JavaScript访问cookie。去年我们跑的那个项目,大概3000量级,我们就在这里下了不少功夫。因为一旦cookie被XSS攻击者获取,他们就可以利用这些cookie进行会话劫持。
另外一点,设置httponly属性后,cookie只能通过HTTP响应头设置,而不能通过JavaScript修改。这意味着,即使攻击者通过XSS脚本获取了cookie的值,也无法更改它。
还有个细节挺关键的,我一开始也以为这样设置后,用户在浏览器的开发者工具中还是能看到cookie的值。后来发现不对,等等,还有个事,设置了httponly属性的cookie,用户在浏览器的开发者工具中是看不到的,这增加了安全性。
最后提醒一个容易踩的坑,如果你设置了httponly属性,那么cookie就不能通过JavaScript进行删除操作了。所以,确保在服务器端或者通过其他安全方式管理cookie的删除。这个点很多人没注意,我觉得值得试试。