HTTPOnly cookies zijn een type beveiligingsfunctie voor cookies in webbrowsers. Ze beperken de toegang tot cookies via client-side scripts, zoals JavaScript. Dit betekent dat ze alleen door de webserver kunnen worden gelezen en niet door client-side scripts die eventueel op een website zijn geïnjecteerd. Dit verhoogt de beveiliging en beschermt tegen bekende aanvallen, zoals cross-site scripting (XSS).
Een voorbeeld van HTTPOnly cookies in actie is wanneer een gebruiker inlogt op een website en een cookie opslaat voor de sessie. Door de HTTPOnly-instelling voor de cookie te activeren, wordt beperkt wie er toegang heeft tot de informatie in de cookie. Alleen de webserver kan de cookie lezen en gebruiken, wat de beveiliging van de gebruikersinformatie verhoogt.