如何在 Django 中设置 HttpOnly cookie?
是否值得努力防止 XSS?
利用
SESSION_COOKIE_HTTPONLY = True
在 settings.py
SESSION_COOKIE_PATH = '/;HttpOnly'
在 Django 3.0 中,您可以在 settings.py 中将以下 cookie 设置为 True:
例如,如果
SESSION_COOKIE_HTTPONLY = True
然后您的客户端 JavaScript 将无法访问会话 cookie。