为何 JavaScript 无法设置 HttpOnly Cookie
问题
尝试在客户端通过以下 JavaScript 代码设置包含 HttpOnly属性的 Cookie 无法成功:
document.cookie = 'url=https://www.ipipp.com/;expires=0;path=/;HttpOnly;';
原因解析
HttpOnly属性是为了防止 Cookie 被客户端的 JavaScript 访问和操作而设计的,其主要目的是增强安全性,保护 Cookie 数据不被恶意脚本窃取。因此,客户端 JavaScript 无权设置此属性。
解决方案
若需设置 HttpOnly属性,必须在服务端通过 HTTP 响应头实现,例如:
Set-Cookie: url=https://www.ipipp.com/; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/; HttpOnly
提示:在本地开发调试时,可通过浏览器的开发者工具手动添加具有 HttpOnly属性的 Cookie 进行模拟测试。