HTTPOnly Cookie là một loại cookie mà trình duyệt chỉ cho phép truy cập thông qua HTTP hoặc HTTPS protocol, và không thể truy cập thông qua JavaScript hay bất kỳ mã nguồn nào khác. Điều này làm giảm nguy cơ tấn công Cross-Site Scripting (XSS), trong đó kẻ tấn công có thể thực hiện mã JavaScript để đọc hoặc thay đổi dữ liệu cookie của người dùng một cách bất hợp pháp.

Khi một cookie được đánh dấu là HTTPOnly, nó chỉ có thể được gửi lại đến máy chủ từ trình duyệt của người dùng thông qua các yêu cầu HTTP hoặc HTTPS. Điều này giúp bảo vệ thông tin nhạy cảm của người dùng, như thông tin đăng nhập, token xác thực và dữ liệu phiên.

Ví dụ, khi một trang web yêu cầu người dùng đăng nhập và tạo một cookie HTTPOnly để lưu trữ thông tin đăng nhập của họ, cookie này sẽ không thể được truy cập từ JavaScript được thêm vào từ một nguồn không đáng tin cậy. Điều này giúp ngăn chặn kẻ tấn công khai thác lỗ hổng XSS để lấy thông tin đăng nhập của người dùng và tiến hành các hành động độc hại.

Để cấu hình bạn chỉ cần thêm đoạn code bên dưới vào cuối file wp-config.php

@ini_set('session.cookie_httponly', true); 
@ini_set('session.cookie_secure', true); 
@ini_set('session.use_only_cookies', true);

Sau khi cấu hình song bạn tải lại trang sẽ thấy thông tin HTTPOnly khi kiểm tra

Lưu ý quan trọng là HTTPOnly này chỉ có tác dụng với người dùng đã đăng nhập nên nếu bạn có dùng tools bên ngoài check khi chưa đăng nhập thì sẽ không thấy được