我在父网页上有一个小工具。我想获取JSESSION ID，以便通过javascript通过当前会话的身份验证（我不想打开新会话）。 document.cookies包含一个空字符串。另一方面，查看浏览器的cookie存储时，我可以找到JSESSION ID作为HttpOnly。是否有可能以某种方式在javascript中获得此信息？如果没有，请您解释一下原因？我在某处读到jsession是服务器端的东西，浏览器怎么可能看到它？

不，您无法获得它，这就是HttpOnly的重点。它告诉浏览器cookie不应该与脚本共享。

This is a security feature to help keep sensitive cookies from being stolen by malicious scripts in Cross-Site Scripting attacks。

如果您的小部件脚本与网站位于同一域中，则在发出请求时它将使用cookie。