在MVC中，httpOnlyCookies屬性實際上做了什麼？

Question

我很困惑這個設置實際上做了什麼。

根據MSDN，「獲取或設置一個值，該值指示是否啓用對瀏覽器的HttpOnly cookie的支持。」

但我很努力去理解這實際上是什麼意思。

我遇到的問題是，在我的MVC應用程序中，會話cookie不會與安全標誌一起發送。我已將RequireSSL="True"屬性放置在Web配置的兩個表單和Cookie部分中，但會話ID cookie仍不會在SSL下發送。我想知道這個其他屬性是否與它有關聯。

Answer 1

如果您已實施requireSSL="true"，則您的Cookie只能通過HTTPS協議傳輸。這不需要更多。 HttpOnly標誌告訴瀏覽器該cookie只能被服務器訪問 - 而不是任何客戶端腳本。這可以防止現代瀏覽器中的某些XSS攻擊尊重這個標誌（應該幾乎所有這一點）。