远程 Web 应用程序使用 cookie 来跟踪经认证的用户。然而,这些 cookie 中有一个或多个未被标注为“HttpOnly”,这表示如 JavaScript 的恶意客户端脚本可读取。“HttpOnly”是用于防御跨站脚本攻击的安全机制,由 Microsoft 提出,最初在 Internet Explorer 中实施。所有新浏览器都支持该标记。请注意:- 在某些情况下可避开“HttpOnly”。- 缺少此属性并不表示 Web 应用程序会自动遭受跨站脚本攻击。- 有些 Web 应用程序需要通过客户端脚本操纵会话 Cookie,且无法设置“HttpOnly”属性。