如果我创建函数:
function setCookie(name, value)
{
// this works:
// document.cookie=name + "=" + escape(value) + "; path=/;";
// this does not:
// document.cookie=name + "=" + escape(value) + "; path=/; secure; HttpOnly; SameSite=strict";
}
setCookie('my_cookie','some_random_value');
我不能百分之百地理解为什么第二种选择不起作用。有什么想法吗?
参见MDN:
JavaScript Document.cookie API无法访问具有HttpOnly属性的cookie;它只发送到服务器。例如,持久化服务器端会话的cookie不需要对JavaScript可用,并且应该具有HttpOnly属性。此预防措施有助于减轻跨站点脚本(XSS(攻击。
不能用document.cookie
设置它,因为标志的整个点是为了防止用document.cookie
设置(或读取(它。