httponly为true的cookie是禁止js访问和操作的,只能随请求一并发出,由服务端读取和操作。
这么做的主要原因是出于安全。可以防止js中的恶意内容窃取重要cookie,比如说sessionID。如果sessionID没设httponly,而你的网站又由于引用了不安全的插件或者被xss攻击等原因存在恶意第三方代码,第三方代码读一下sessionID后发往攻击者服务器,攻击者就可以劫持会话了。
1、可能cookie的secure设置成true了,这样只能在https下读取,http下不能读取。
2、HttpOnly Cookie对js是无效的
补充一篇文章:
全面解读HTTP Cookie