我正在尝试弄清楚如何为set-cookie标头设置HttpOnly属性,特别是对于本机NodeJS。
现在,我有这个代码,但它不起作用,因为我仍然可以使用客户端javascript访问cookie。
response.setHeader('Set-Cookie', ['HttpOnly']);
答案 0 :(得分:13)
要设置cookie,您需要指定代码中缺少的cookie名称和值。这就是为什么它不起作用。示例代码为:
response.setHeader('Set-Cookie', 'foo=bar; HttpOnly');
如果你想设置多个cookie,一些有HttpOnly,有些没有。代码是:
response.setHeader('Set-Cookie', ['foo=bar; HttpOnly', 'x=42; HttpOnly', 'y=88']);
根据Node.js HTTP document,没有全局HttpOnly配置,这是有道理的,因为通常您可能需要一些cookie客户端可读。