(转)Session Cookie 的 HttpOnly和 secure 属性 - (sunznx) 振翅飞翔
09 September 2019
原文: Session Cookie的HttpOnly和secure属性

Cookie 的 HttpOnly 和 secure 属性

  1. secure 属性
    当设置为 true 时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到 Cookie 的具体内容。
  2. HttpOnly 属性
    如果在 Cookie 中设置了 "HttpOnly" 属性,那么通过程序(JS 脚本、Applet 等)将无法读取到 Cookie 信息,这样能有效的防止 XSS 攻击。

存储登录用的信息(敏感信息)的原则:

  1. 不能存 localstorage
  2. 存 cookie 必须设置 httponly 为 true