javascript - 请教一个关于chrome cookie获取的问题？

Question

为了安全，服务器会把cookie的某些值设置为httpOnly，这样客户端就不能通过javascript的document.cookie拿到这些cookie值。

但是在chrome的devTools - Application - cookie 里，还是能看到这些设置为httpOnly的cookie值呀，这样攻击者是不是一样能把它拷出来，去登录伪造请求呢？

这样其实还是没限制我在客户端获取cookie值，httpOnly设置的意义何在呢？小白不懂，求指教。

Answer 1

你只要写到浏览器，客户端就一定可以拿到的，如果是一些敏感信息就不要放到cookie里，要放到服务端。
还有httponly只是客户端脚本访问Cookie限制，并不能阻止客户伪造和获取，而且客户端可以获取cookie的方式有很多种，所以只要写到cookie里，用户就一定能拿到的。