< p >JavaScript HttpOnly: 保障网站的安全性< /p >< p >HttpOnly是JS的一个标志(symbol)，将cookie设置为HttpOnly后，只有在服务器端才能被访问到，目的是为了防止黑客的XSS攻击而引发的Cookie劫持问题。< /p >< p >我们都知道Cookie是存储在客户端浏览器上的一段文本，其中往往包含了用户ID、密码、Session ID等敏感信息，一旦被他人获取，就很容易被攻击进行盗取。HttpOnly为什么这么关键呢？就让我们来举个例子。< /p >

//假设有一个cookie，里面存着用户的登录信息
cookie: "username=admin; password=123456"
//如果使用HttpOnly标记后，cookie变成了这样
cookie: "username=admin; password=123456; HttpOnly"

< p >对于没有设置HttpOnly的cookie，黑客可以借助XSS攻击，运用JavaScript脚本，随意访问这些敏感信息，造成隐私泄露的风险。而HttpOnly标记则在客户端的JavaScript环境中，让cookie完全不可被恶意脚本所劫持，极大地提升了网站的安全性。< /p >< p >值得注意的是，HttpOnly标志不是绝对安全的，它并不能防止所有的攻击方式。而且在某些情况下，XSS漏洞会导致攻击者能够访问到包括HttpOnly标志的cookie，还需要我们在搭建网站时，采用全面的安全策略开始进行防御。< /p >< p >现在我们来看一下如何在JavaScript中设置HttpOnly：只需在设置cookie的时候添加一个HttpOnly属性即可，比如：< /p >

document.cookie = "username=admin; HttpOnly"

< p >当然，我们还可以在开发过程中，通过强制用户的浏览器执行JS脚本，检查是否存在可通过JS攻击的cookie，来进一步提升网站信息的安全性。< /p >< p >总之，采用HttpOnly标记是防止黑客XSS攻击和提升网站安全性的一种有效方法。在构建我们优秀的网站时，强烈建议将其设置为强制项，并加以合理的响应控制。< /p >