Secure与HttpOnly属性

今天查看Cookie的时候发现有些cookie后面的Secure，HttpOnly属性后面被标记为 true。之前没有过多的了解，于是便稍微查了一下这两个属性。

1. Secure属性
   当设置为true时，表示创建的Cookie会被以安全的形式向服务器传输，也就是只能在HTTPS连接中被浏览器传递到服务器端进行会话验证。但即便设置了Secure标记，敏感信息也不应该通过Cookie传输，因为Cookie有其固有的不安全性，Secure标记也无法提供确实的安全保障。从 Chrome 52 和 Firefox 52 开始，不安全的站点（http:）无法使用Cookie的Secure标记。

2. HttpOnly属性
   如果在Cookie中设置了HttpOnly属性，那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息。

对于以上两个属性，
首先，Secure属性是防止信息在传递的过程中被监听捕获后信息泄漏，HttpOnly属性的目的是防止程序获取cookie后进行攻击。但并不能解决Cookie在本机出现的信息泄漏的问题，毕竟Chrome也好FireFox也好，都可以直接看到Cookie的相关信息。