微軟的 IE6 SP1 在 cookie 中引入了一個新的選項：`HTTP-only`，`HTTP-Only`?背后的意思是告之瀏覽器該 cookie 絕不能通過 JavaScript 的?`document.cookie`?屬性訪問。設計該特征意在提供一個安全措施來幫助阻止通過 JavaScript 發起的跨站腳本攻擊 (XSS) 竊取 cookie 的行為（我會在另一篇博客中討論安全問題，本篇如此已足夠）。今天 Firefox2.0.0.5+、Opera9.5+、Chrome 都支持 HTTP-Only cookie。3.2 版本的 Safari 仍不支持。 要創建一個 HTTP-Only cookie，只要向你的 cookie 中添加一個?`HTTP-Only`?標記即可： ~~~ Set-Cookie: name=Nicholas; HttpOnly ~~~ 一旦設定這個標記，通過?`documen.coookie`?則不能再訪問該 cookie。IE 同時更近一步并且不允許通過?`XMLHttpRequest`?的?`getAllResponseHeaders()`?或?`getResponseHeader()`?方法訪問 cookie，然而其它瀏覽器則允許此行為。Firefox 在 3.0.6 中[修復了該漏洞](http://www.mozilla.org/security/announce/2009/mfsa2009-05.html)，然而仍舊有許多[瀏覽器漏洞](http://manicode.blogspot.com/2009/01/browser-httponly-support-update.html)存在，[complete browser support list](https://www.owasp.org/index.php/HTTPOnly#Browsers_Supporting_HTTPOnly)?列出了這些。 你不能通過 JavaScript 設置?`HTTP-only`，因為你不能再通過 JavaScript 讀取這些 cookie，這是情理之中的事情。