使用javascript的Cookie安全标志

问题描述：

我想告诉您如何使用javascript设置cookie安全标志和http标志。当我在Chrome开发者工具用F12打开，然后点击“应用 - >曲奇”我看到这里没有标志（在安全和http列），这是我的代码来设置cookie的：使用javascript的Cookie安全标志

document.cookie = name+'='+value+'; expires='+expires+'; path=/;';

我也觉得这个话题，但这并没有帮助我：How to set cookie secure flag using javascript

添加'secure'到您的字符串的结尾。完成了吗？ –

安全在我的字符串结束是不是我的解决方案（工作不好），因为整个cookie然后消失，不加载 –

您使用HTTPS？因为你需要'安全'。 –

答

用JavaScript创建HttpOnly cookie是不可能的。 **HttpOnly** Cookie意味着它无法通过脚本语言访问。因此它不能由Javascript创建。

为了防止跨站点脚本（XSS）攻击，的HttpOnly饼干是无法访问JavaScript的document.cookie中API;他们只被发送到服务器。例如，持久化服务器端会话的cookie不需要对JavaScript可用，并且应该设置HttpOnly标志。