Javascript 如何使用document.cookie创建安全/httpOnly cookie?
如果我创建函数:Javascript 如何使用document.cookie创建安全/httpOnly cookie?,javascript,cookies,cookie-httponly,Javascript,Cookies,Cookie Httponly,如果我创建函数: function setCookie(name, value) { // this works: // document.cookie=name + "=" + escape(value) + "; path=/;"; // this does not: // document.cookie=name + "=" + escape(value) + ";
function setCookie(name, value)
{
// this works:
// document.cookie=name + "=" + escape(value) + "; path=/;";
// this does not:
// document.cookie=name + "=" + escape(value) + "; path=/; secure; HttpOnly; SameSite=strict";
}
我不是百分之百地理解为什么第二种选择不起作用。任何人有什么想法吗?请参见:
JavaScript Document.cookie API无法访问具有HttpOnly属性的cookie;它只发送到服务器。例如,持久化服务器端会话的cookie不需要对JavaScript可用,并且应该具有HttpOnly属性。此预防措施有助于减轻跨站点脚本(XSS)攻击
您无法使用
document.cookie
设置它,因为该标志的整个要点是防止使用document.cookie设置(或读取)。cookie
您无法在客户端上创建仅HTTP的cookie。根据定义,它只能从服务器使用HTTP创建。这是否回答了您的问题?好吧,现在有道理了。谢谢
setCookie('my_cookie','some_random_value');