最近测试人员在提安全测试问题的时候，提了一堆 Cookie 相关的问题

比如没有设置 httpOnly 和 Secure

我这里说明下

我们的项目是前后端分离的

前端才有 js-cookie 组件来设置cookie

Cookie主要目的是前端用来存储登录成功后返回的 token 值，当然也有人存在 localStorage 里也是 ok 的

httpOnly

httpOnly表示客户端（浏览器、JS）不能设置这个属性，只能由后台 response 创建

对于我们前后端分离的项目，肯定是设置不了这个属性的

Secure

secure表示必须在 https 协议下才能操作或查看这个 Cookie 值

通常情况，我们也是几乎不会设置这个属性