'httpOnly'=>true是什么意思？[2.0]

'identityCookie' => ['name' => '_identity-frontend', 'httpOnly' => true],

请问httpOnly指的是什么意思？

首先,要想使用这个配置,那么 “enableAutoLogin”必须为”true”, 'httpOnly' => true 的意思是: cookie是否应该只通过HTTP协议访问, 属性设置为true，该cookie不会通过脚本语言访问,设为true的目的: 它可以有效地帮助通过XSS攻击，以减少身份盗窃
看到你的问题很好奇，查了下资料。
发现这边的httpOnly是登录的时候记录cookie用的
httponly设成ture,js不能访问这个cookie