Ответ
HTTPOnly cookie — это флаг, который можно установить для куки, чтобы предотвратить доступ к ней через JavaScript (через document.cookie). Это мера безопасности, защищающая от XSS-атак (Cross-Site Scripting), так как злоумышленник не сможет украсть куки, даже если внедрит вредоносный скрипт.
Пример установки HTTPOnly cookie на сервере (Node.js с Express):
res.cookie('sessionId', '12345', {
httpOnly: true,
secure: true, // рекомендуется для HTTPS
sameSite: 'strict'
});Особенности:
- Доступно только в HTTP-запросах (серверу и браузеру)
- Нельзя прочитать/изменить через JavaScript
- Поддерживается всеми современными браузерами
Используется для хранения чувствительных данных, например, сессионных идентификаторов.