HttpOnly

释义 Definition

HttpOnly（通常写作 HttpOnly）是浏览器 Cookie 的一个属性/标记，表示该 Cookie 不能被 JavaScript（如 document.cookie）读取，从而降低遭受 跨站脚本攻击（XSS） 时 Cookie（尤其是会话标识）被窃取的风险。（它不等同于加密；主要是“禁止脚本访问”。）

发音 Pronunciation (IPA)

/ˌeɪtʃ tiː tiː piː ˈoʊnli/

例句 Examples

Set the session cookie as HttpOnly to reduce XSS risk.
把会话 Cookie 设置为 HttpOnly，以降低 XSS 风险。

Even if an attacker injects a script, an HttpOnly cookie is not accessible through document.cookie, though it can still be sent with requests to the server.
即使攻击者注入了脚本，带有 HttpOnly 的 Cookie 也无法通过 document.cookie 读取，但仍会随请求自动发送到服务器。

词源 Etymology

由 HTTP（超文本传输协议）+ only（仅，仅限）组合而成，字面意思是“仅限 HTTP 通道使用/访问”。在 Web 安全语境中，它特指“仅允许通过 HTTP(S) 请求携带，不允许脚本读取”这一 Cookie 标记。

相关词 Related Words

• Cookie
• Secure
• SameSite
• Session
• Header
• XSS
• CSRF
• Authentication

文献与作品 Literary Works

• **RFC 6265: HTTP State Management Mechanism**（Cookie 标准文档，讨论 Cookie 属性与行为）
• OWASP 安全文档（如与 Session 管理、XSS 防护相关的指南中常提到 HttpOnly）
• _The Web Application Hacker’s Handbook_（Web 应用安全经典书籍，常在会话与 XSS 章节涉及 HttpOnly 的防护意义）