HttpOnly 和 Secure 属性协同防护 Cookie:HttpOnly 禁止 JavaScript 读取 Cookie 防 XSS 窃取,Secure 强制仅 HTTPS 传输防 MITM 截获;二者必须同时启用,并配合 SameSite(Lax/Strict)增强安全。HttpOnly 和 Secure 是 Cookie 的两个关键安全属性,它们不能阻止 XSS 攻击本身,但能显著限制 XSS 成功后的危害------尤其是防止攻击者窃取会话 Cookie。HttpOnly:阻断 JavaScript 读取敏感 Cookie启用 HttpOnly 后,浏览器禁止 JavaScript(包括 document.cookie、XMLHttpRequest、Fetch)访问该 Cookie。即使页面存在 XSS 漏洞,攻击者注入的脚本也无法通过 document.cookie 获取到带此属性的 Cookie(如 sessionid)。注意:HttpOnly 只影响"读取",Cookie 仍会在后续请求中由浏览器自动携带发送给服务端,不影响正常登录态维持。后端设置示例(Node.js/Express):res.cookie('sessionid', 'abc123', { httpOnly: true, secure: true, sameSite: 'lax' }); PHP 示例:setcookie('sessionid', 'abc123', 'httponly' =\> true, 'secure' =\> true, 'samesite' =\> 'Lax' ) 务必为所有含认证信息的 Cookie(如 session、auth_token)启用 HttpOnlySecure:确保 Cookie 仅通过 HTTPS 传输Secure 属性强制浏览器只在 HTTPS 协议下发送该 Cookie。这可防止 Cookie 在 HTTP 明文传输中被中间人(MITM)窃听或劫持。 幻导航网 发现优质实用网站,开启网络探索之旅!
相关推荐
海鸥-w3 分钟前
用python (fastapi)做项目第一天创建项目结构,数据建表,ORM配置安装,写第一个接口㳺三才人子3 分钟前
初探 Flask-WTF装不满的克莱因瓶15 分钟前
基于 sklearn 工具和鸢尾花数据集,进行逻辑回归实战财经资讯数据_灵砚智能16 分钟前
基于全球经济类多源新闻的NLP情感分析与数据可视化(夜间-次晨)2026年6月5日zfoo-framework19 分钟前
通过redis-cli+lua脚本查询redis数据garmin Chen20 分钟前
Prompt工程入门:让AI按你的要求工作(2)--Prompt 高阶优化与结构化设计AC赳赳老秦22 分钟前
用 OpenClaw 整理团队技术分享:自动提取 PPT 内容、生成文字稿、同步到知识库编程大师哥24 分钟前
推导式和生成器表达式有什么区别?稳如磐石.24 分钟前
北京工业计算机牛栓柱31 分钟前
【后端实战】用 Supabase + React/TS 零成本构建高并发 Multi-Agent 服务