在cookie中設置了HttpOnly屬性，那么通過js腳本將無法讀取到cookie信息，這樣能有效的防止XSS攻擊。與是否收到cookie并沒有直接關系，但可以保證客戶端的js無法修改cookie。

httpOnly 的最常見應用場景，即防止網(wǎng)站被 XSS 攻擊攻破后，利用 javascript 獲取 cookie 中的敏感信息。

所以，它主要是用來禁止 javascript 讀取 cookie。

一般由后臺在 http 頭里設置 cookie 時啟用 httpOnly 。