通过 Javascript 将 cookie 设置为 HttpOnly

一个 HttpOnly cookie 意味着它是可用于脚本语言(如 JavaScript)的 没有。因此，在 JavaScript 中，绝对没有可用的 API 来获取/设置 cookie 的 HttpOnly属性，否则就会破坏 HttpOnly的意义。

只需在服务器端使用服务器端使用的任何服务器端语言将其设置为这样即可。如果 JavaScript 对此是绝对必要的，那么您可以考虑让它发送一些(ajax)请求，比如一些特定的请求参数，这些参数会触发服务器端语言创建 HttpOnly cookie。但是，这仍然会使黑客很容易改变的 HttpOnly只是 XSS，仍然有访问的 cookie 通过 JS，从而使您的 cookie 上的 HttpOnly完全无用。