如何将cookie中httponly属性设置为true？（预防XSS攻击）

如何将cookie中HttpOnly属性设置为True？（预防xss攻击）

---

前言

在 cookie 中设置了 HttpOnly 属性，那么通过 js 脚本将无法读取到cookie 信息，这样能有效的防止 XSS 攻击。

为了解决XSS（跨站脚本攻击）的问题，从IE6开始支持cookie的HttpOnly属性，这个属性目前已被大多数浏览器（IE、FF、Chrome、Safari）所支持。当cookie中的HttpOnly属性被设置为true时，前端脚本JavaScript就无法访问或操作cookie了（只能通过后台访问），这样XSS就失效了。即便是这样，也不要将重要信息存入cookie。

一、打开IIS

二、点击配置编辑器，点击打开功能

三、点击“节”的下拉按钮

四、找到system.web—HTTPCookie

五、更改httpONLYcookie的属性值

可以看到httpOnlyCookie的属性值是False，将False双击或按右侧下拉按钮修改为True，点击右上角“应用”保存

六、生成web.config

到网站目录中可以看到生成一个文件web.config

七、完成

就这么一段代码，即设置完成了

总结

我们将cookie设置成HttpOnly是为了防止XSS攻击，窃取cookie内容，这样就增加了cookie的安全性，即便是这样，也不要将重要信息存入cookie。希望各位大佬指点批评。