引言

在Web开发中，Cookie是用于在客户端和服务器之间传递信息的重要机制。然而，Cookie的安全性一直是一个备受关注的问题。特别是当Cookie中存储了敏感信息（如会话ID）时，如何防止这些信息被恶意脚本窃取就显得尤为重要。HttpOnly属性是增强Cookie安全性的一种有效手段。本文将详细介绍如何在Spring Boot中设置HttpOnly Cookie，并探讨其背后的安全机制。

什么是HttpOnly Cookie？

HttpOnly是一个Cookie属性，用于防止客户端脚本（如JavaScript）访问该Cookie。当Cookie被标记为HttpOnly时，浏览器将禁止客户端脚本通过document.cookie访问该Cookie，从而有效防止跨站脚本攻击（XSS）。

HttpOnly的作用

• 防止XSS攻击：通过设置HttpOnly，可以防止恶意脚本通过document.cookie访问敏感的Cookie信息。
• 保护会话信息：通常用于保护会话ID等敏感信息。

在Spring Boot中设置HttpOnly Cookie

在Spring Boot中，你可以通过多种方式设置HttpOnly Cookie。以下是几种常见的方式：

1. 使用HttpServletResponse设置HttpOnly Cookie

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;@RestController
public class MyController {@GetMapping("/setCookie")public String setCookie(HttpServletResponse response) {Cookie cookie = new Cookie("myCookie", "cookieValue");cookie.setHttpOnly(true); // 设置HttpOnly属性cookie.setSecure(true