HttpOnly 属性介绍

HttpOnly 是一个相对比较新的 Web 安全特性，是一个存放在浏览器 Cookie 中的属性。简单来说，它可以防止恶意脚本攻击，而使之无法通过 JavaScript 代码读取到 Cookie 信息。本文章将向大家介绍 HttpOnly 属性的作用，实现方式及其在 Web 安全中的使用。

HttpOnly 属性的作用

当设置了 HttpOnly 属性后，客户端无论通过 JavaScript 代码还是其它的客户端脚本语言，都无法访问到 Cookie 中的信息。这样恶意脚本就无法获取到用户的 cookie ，从而防止 CSRF 攻击、Sesion 窃取、XSS 攻击等。

HttpOnly 属性的实现方式

HttpOnly 属性的实现很简单，只需要在设置 Cookie 的时候，将 HttpOnly 属性加入到 Cookie 中即可，示例代码如下书写代码如下：

Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; HttpOnly

其中，HttpOnly 属性的值只有两种，分别是 True 或 False 。在一些浏览器中，还可以使用 document.cookie 来操作 Cookie 信息，因此强制使用 HttpOnly 可以有效地防止 XSS 攻击。

HttpOnly 属性在 Web 安全中的使用

HttpOnly 是一个相对比较新的 Web 安全特性，但是在应对客户端的 XSS 攻击方面却起到了非常重要作用。特别是在一些持卡人数据、个人信息等非常敏感的应用中，开启 HttpOnly 属性已经是不可避免的一种安全整改操作了。

总之，在使用 Web 时，尽量开启 HttpOnly 模式，以保证客户端信息的安全。