HttpOnly 和 Secure 属性协同防护 CookieHttpOnly 禁止 JavaScript 读取 Cookie 防 XSS 窃取Secure 强制仅 HTTPS 传输防 MITM 截获二者必须同时启用并配合 SameSiteLax/Strict增强安全。HttpOnly 和 Secure 是 Cookie 的两个关键安全属性它们不能阻止 XSS 攻击本身但能显著限制 XSS 成功后的危害——尤其是防止攻击者窃取会话 Cookie。HttpOnly阻断 JavaScript 读取敏感 Cookie启用 HttpOnly 后浏览器禁止 JavaScript包括 document.cookie、XMLHttpRequest、Fetch访问该 Cookie。即使页面存在 XSS 漏洞攻击者注入的脚本也无法通过 document.cookie 获取到带此属性的 Cookie如 sessionid。注意HttpOnly 只影响“读取”Cookie 仍会在后续请求中由浏览器自动携带发送给服务端不影响正常登录态维持。后端设置示例Node.js/Expressres.cookie(sessionid, abc123, { httpOnly: true, secure: true, sameSite: lax }); PHP 示例setcookie(sessionid, abc123, [ httponly true, secure true, samesite Lax ]) 务必为所有含认证信息的 Cookie如 session、auth_token启用 HttpOnlySecure确保 Cookie 仅通过 HTTPS 传输Secure 属性强制浏览器只在 HTTPS 协议下发送该 Cookie。这可防止 Cookie 在 HTTP 明文传输中被中间人MITM窃听或劫持。 幻导航网 发现优质实用网站,开启网络探索之旅