您能简单解释一下 HTTPOnly cookie 和普通 cookie 之间的区别吗？

普通的 cookie 可以通过 JavaScript 访问，并且它也包含在对关联域的每个请求中。具有 HttpOnly 属性的 cookie 会被 JavaScript 阻止，并且仅包含在对域的请求中。

然后，您还可以添加 Secure 属性，以强制 cookie 仅通过 HTTPS 而不是 HTTP 发送。

您可以通过两种方式设置 cookie：

1. 通过带有

   document.cookie

   属性的 javascript
2. 通过从服务器设置

   Set-Cookie

   标头

当您在 cookie 中指定

HTTPOnly

属性时，这意味着您将无法使用 javascript 访问/修改该 cookie（即使用

document.cookie

属性），该 cookie 只能由服务器访问/修改

并且普通 cookie 与签名 cookie 相同吗？

不，签名 cookie 是指其值附有签名的 cookie。它在（后端）服务器中创建会话 cookie（为用户）时使用，您可以在其中使用密钥签署 cookie。