标签: security ssl httponly
如果我已经为我的应用服务器设置了SSL,我还需要为Cookie设置HttpOnly吗?
答案 0 :(得分:17)
是。这两个标志彼此无关(两者都是安全/隐私选项)
“安全”表示只会通过加密连接发送Cookie
“HttpOnly”表示该Cookie对Javascript不可见
例如,您仍然可以在HTTPS页面上安装XSS(然后恶意脚本可能会占用您的cookie)。