JavaScript设置HttpOnlyCookie的方法涉及在服务器端设置Cookie的属性,而不是直接通过JavaScript操作。以下是详细步骤和注意事项:1.理解HttpOnlyCookieHttpOnly是一个Cookie属性,用于防止通过JavaScript(如document.cookie)访问该Cookie,从而增强安全性,防止XSS攻击。注意:HttpOnly必须在服务器端设置,
时间:2026-01-20 12:11:35 263浏览 收藏
哈喽!大家好,很高兴又见面了,我是golang学习网的一名作者,今天由我给大家带来一篇《JavaScript如何设置HttpOnly Cookie》,本文主要会讲到等等知识点,希望大家一起学习进步,也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧!
JavaScript 无法读取 HttpOnly Cookie,因其设计目的就是禁止客户端脚本访问以防范 XSS;JS 仅能通过 document.cookie 操作非 HttpOnly、同域、未过期且满足 Secure/SameSite 等条件的 Cookie。
JavaScript 无法读取设置了 HttpOnly 标志的 Cookie,这是设计上的安全限制——该标志的作用就是让 Cookie 只能由服务器通过 HTTP 协议发送和接收,禁止客户端脚本(如 JS)访问,从而防范 XSS 攻击窃取敏感 Cookie(比如 session ID)。
JavaScript 能操作哪些 Cookie?
JS 只能通过 document.cookie 读写未标记 HttpOnly 的 Cookie,且仅限于当前域名、路径匹配、未过期、且满足 Secure(HTTPS 环境下才允许写入)等条件的 Cookie。
- 设置 Cookie:
document.cookie = "name=value; expires=...; path=/; domain=.example.com; Secure; SameSite=Lax" - 读取 Cookie:
document.cookie返回一个字符串(所有可访问 Cookie 的 name=value 对,用分号空格分隔),需自行解析 - 删除 Cookie:将
expires设为过去时间,例如expires=Thu, 01 Jan 1970 00:00:00 GMT
HttpOnly 必须由服务器端设置
HttpOnly 是响应头 Set-Cookie 的一个属性,浏览器只认服务器在 HTTP 响应中明确声明的该标志。JavaScript 没有 API 可以添加或修改它。
- ✅ 正确方式(服务端示例):
- Node.js/Express:
res.cookie('sessionid', 'abc123', { httpOnly: true, secure: true, sameSite: 'lax' }) - PHP:
setcookie('token', 'xyz', ['httponly' => true, 'secure' => true, 'samesite' => 'Lax']) - Java Servlet:
cookie.setHttpOnly(true); cookie.setSecure(true); response.addCookie(cookie) - ❌ 错误认知:不能通过
document.cookie = "a=b; HttpOnly"设置——浏览器会忽略该属性
如何确保 Cookie 安全?关键组合策略
单靠 HttpOnly 不够,需配合其他属性形成纵深防御:
- Always use
Secure:确保 Cookie 仅通过 HTTPS 传输,防止明文窃听(开发环境 localhost 除外) - Set
SameSiteexplicitly:推荐SameSite=Lax(默认防 CSRF,兼容大部分 GET 请求)或Strict(更严,但可能影响跨站导航) - Limit
DomainandPath:避免宽泛设置(如Domain=.com),缩小作用范围 - Short
Max-AgeorExpires:敏感 Cookie(如登录态)应设合理有效期,降低泄露后危害
验证 HttpOnly 是否生效
打开浏览器开发者工具 → Application(或 Storage)→ Cookies → 查看对应条目,若 “HttpOnly” 列显示 ✅,且在 Console 中执行 document.cookie 查不到该 Cookie 名称,则设置成功。
不复杂但容易忽略:HttpOnly 是服务器责任,JS 只能配合使用非敏感 Cookie(如 UI 偏好),敏感状态必须交由 HttpOnly + Secure + SameSite 全套保护。
今天带大家了解了的相关知识,希望对你有所帮助;关于文章的技术知识我们会一点点深入介绍,欢迎大家关注golang学习网公众号,一起学习编程~
-
502 收藏
-
501 收藏
-
501 收藏
-
501 收藏
-
501 收藏
-
217 收藏
-
217 收藏
-
487 收藏
-
212 收藏
-
289 收藏
-
214 收藏
-
308 收藏
-
164 收藏
-
357 收藏
-
234 收藏
-
105 收藏
-
284 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 485次学习