仅HTTP或安全标志标头可用于HTTP请求或HTTP响应吗?大多数情况下,我会在回复中看到它。
根据Microsoft开发人员网络,HttpOnly是Set-Cookie HTTP响应标头中包含的附加标志。请检查https://www.owasp.org/index.php/HttpOnly
如果HTTP响应标头中包含HttpOnly标志(可选),则无法通过客户端脚本访问cookie(同样,如果浏览器支持该标志,则该cookie。)>
并且使用HttpOnly减轻了最常见的XSS攻击
问候,
XSS之类的alert(document.cookie),您可以从Web应用程序服务器配置中设置这些头。设置标头后,用户的浏览器将获得这些标头作为响应,浏览器将拒绝任何Java脚本来获取Cookie数据。因此,这些标头是响应。