引言

在Web開發中，Cookie是用于在客戶端和服務器之間傳遞信息的重要機制。然而，Cookie的安全性一直是一個備受關注的問題。特別是當Cookie中存儲了敏感信息（如會話ID）時，如何防止這些信息被惡意腳本竊取就顯得尤為重要。HttpOnly屬性是增強Cookie安全性的一種有效手段。本文將詳細介紹如何在Spring Boot中設置HttpOnly Cookie，并探討其背后的安全機制。

什么是HttpOnly Cookie？

HttpOnly是一個Cookie屬性，用于防止客戶端腳本（如JavaScript）訪問該Cookie。當Cookie被標記為HttpOnly時，瀏覽器將禁止客戶端腳本通過document.cookie訪問該Cookie，從而有效防止跨站腳本攻擊（XSS）。

HttpOnly的作用

• 防止XSS攻擊：通過設置HttpOnly，可以防止惡意腳本通過document.cookie訪問敏感的Cookie信息。
• 保護會話信息：通常用于保護會話ID等敏感信息。

在Spring Boot中設置HttpOnly Cookie

在Spring Boot中，你可以通過多種方式設置HttpOnly Cookie。以下是幾種常見的方式：

1. 使用HttpServletResponse設置HttpOnly Cookie

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;@RestController
public class MyController {@GetMapping("/setCookie")public String setCookie(HttpServletResponse response) {Cookie cookie = new Cookie("myCookie", "cookieValue");cookie.setHttpOnly(true); // 設置HttpOnly屬性cookie.setSecure(true