security - document.cookie 无法读取 HttpOnly的cookie

如题.

所以, session id 一般都用 HttpOnly cookie 保存.

另外,可以通过Xhr  + CSRF的方式来获得 cookie.

参考: https://stackoverflow.com/questions/8064318/how-to-read-a-httponly-cookie-using-javascript

下面的cookie是 HttpOnly = false的,所以可以通过 document.cookie 来读取

设置cookie:  document.cookie='my_key=my_value'

一次只能设置一个key. 不能设置多个key .

对于HttpOnly的cookie, 就算执行了document.cookie='... ' 不报错,但是也不生效.