http only cookie 以及javascript创建cookie的过程

http only cookie 以及javascript创建cookie的过程

http only cookie 工作方式   服务器端设置

javascrip cookie   浏览器设置

1. HttpOnly cookie

HttpOnly类型的Cookie不能使用Javascript通过Document.cookie属性来访问，从而能够在一定程度上阻止跨域脚本攻击（XSS）。当不需要在Javascript代码中访问Cookie时，可以将该Cookie设置成HttpOnly类型的。特别的，当cookie仅仅用于定义会话的情况下，最好给它设置一下HttpOnly标志。但HttpOnly标志并没有提供额外的加密或者安全性上的能力，当整个机器暴露在不安全的环境时，切记决不能通过HTTP Cookie存储、传输机密或者敏感信息。

2. javascript cookie

• 点击F12，选择Console选项，查看chrome浏览器端记住的cookie

document.cookie
"Hm_lvt_dfd480f265eedd102b7ba83f9826e877=1525407478; Hm_lpvt_dfd480f265eedd102b7ba83f9826e877=1525488053"

• 使用javascript新增cookie

document.cookie = "111"
"111"

• 再次查看cookie

document.cookie
"Hm_lvt_dfd480f265eedd102b7ba83f9826e877=1525407478; Hm_lpvt_dfd480f265eedd102b7ba83f9826e877=1525488053; 111"