已设置Django SESSION_COOKIE_HTTPONLY，但cookie上未显示HttpOnly标志

Django是一个流行的Python Web框架，用于快速开发高质量的Web应用程序。在Django中，SESSION_COOKIE_HTTPONLY是一个配置选项，用于设置会话cookie是否应该具有HttpOnly标志。

HttpOnly是一个安全标志，用于防止跨站点脚本攻击（XSS）。当会话cookie被设置为HttpOnly时，浏览器将禁止通过JavaScript访问该cookie，从而提高了应用程序的安全性。

然而，即使在Django中设置了SESSION_COOKIE_HTTPONLY为True，有时候会话cookie上未显示HttpOnly标志的情况也可能发生。这可能是由于以下原因：

1. 浏览器不支持HttpOnly标志：某些旧版本的浏览器可能不支持HttpOnly标志，因此无论是否设置了SESSION_COOKIE_HTTPONLY，都不会在cookie上显示HttpOnly标志。在这种情况下，建议使用支持HttpOnly标志的现代浏览器。
2. 代理服务器的干预：如果应用程序后面有代理服务器，该代理服务器可能会修改或删除HttpOnly标志。这可能是出于安全或其他目的。在这种情况下，建议检查代理服务器的配置，并确保它不会干预会话cookie的HttpOnly标志。
3. Django版本问题：某些Django版本可能存在bug，导致设置了SESSION_COOKIE_HTTPONLY为True时，会话cookie上未显示HttpOnly标志。在这种情况下，建议升级到最新的Django版本，以修复可能存在的问题。

总结起来，尽管已经设置了Django SESSION_COOKIE_HTTPONLY为True，但会话cookie上未显示HttpOnly标志可能是由于浏览器不支持、代理服务器干预或Django版本问题等原因。为了确保会话cookie的安全性，建议使用支持HttpOnly标志的现代浏览器，并检查代理服务器的配置。