为什么Http-only可以用来防御XSS攻击？

问题遇到的现象和发生背景

用代码块功能插入代码，请勿粘贴截图

我想要达到的结果

js获取不到设置cookie时添加了http-only属性的cookie内容，比如用户登录网站后的身份cookie值，cookie和身份session是关联一起的。但是xss还是可以做破坏，比如修改页面信息，和获取一些用户信息什么的。

XSS HTTP-only_金一白的博客-CSDN博客装载自： http://itlab.idcquan.com/security/wlaq/777263.html在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTP-only cookie.我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only coo

https://blog.csdn.net/luojinbai/article/details/50762095

cookie设置为HTTP-only属性就禁止javascript读取cookie信息，XSS的恶意利用脚本已无法获取到用户的Cookie，通过这种方法，网站成功保护了用户的Cookie信息免遭攻击者窃取，但是还能执行其他脚本，因此一般会对请求字符做过滤和添加Http-only属性的方式，防御XSS

您好，我是有问必答小助手，您的问题已经有小伙伴帮您解答，感谢您对有问必答的支持与关注！
PS：问答VIP年卡【限时加赠：IT技术图书免费领】，了解详情>>> https://vip.csdn.net/askvip?utm_source=1146287632