安全标记

JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 cookie；此类 Cookie 仅作用于服务器。例如，持久化服务器端会话的 Cookie 不需要对 JavaScript 可用，而应具有 HttpOnly 属性。此预防措施有助于缓解跨站点脚本（XSS） (en-US)攻击。

• MDN/Cookies

如果设置了HttpOnly，那么客户端中的JavaScript无法修改Cookie，无论是新增还是修改。HttpOnly选项是一种安全措施，可以防止跨站点脚本攻击（XSS攻击）。通过阻止JavaScript访问敏感Cookie，HttpOnly可以防止攻击者获取访问受害者账户的权限。JavaScript代码只有通过发送HTTP请求到Web服务器，然后在服务器端设置Cookie才能设置Cookie，而不能通过JavaScript直接访问Cookie。因此，如果你在后端设置了HttpOnly，客户端中的JavaScript不能新增或修改Cookie，只能在Web服务器上通过HTTP响应向客户端发送新的Cookie。

— FROM chatGPT

补充说明

如果用 Chrome 打开具有登录属性的网站，可以看到 Cookie 是有 HttpOnly 属性打钩的。

被设置的具体字段，无法读取，但是没有被设置的字段依然可以读取、修改，并且会携带上传。