在 IIS 中设置 HttpOnly 属性可以帮助防止客户端脚本访问 cookies，增强安全性。以下是如何在 IIS 中为 cookies 设置 HttpOnly 属性的步骤：

方法一：通过 web.config 文件设置

打开 web.config 文件： 在你的网站根目录中找到并打开 web.config 文件。

添加以下配置： 在 <system.web> 或 <system.webServer> 部分中添加以下代码：

<system.web>

    <httpCookies httpOnlyCookies="true" />

</system.web>

或者在 <system.webServer> 中添加：

<system.webServer>

    <httpProtocol>

        <customHeaders>

            <add name="Set-Cookie" value="yourcookie; HttpOnly" />

        </customHeaders>

    </httpProtocol>

</system.webServer>

方法二：通过代码设置

如果你使用 ASP.NET，可以在代码中设置 HttpOnly 属性：

HttpCookie cookie = new HttpCookie("yourcookie", "value");

cookie.HttpOnly = true; // 设置 HttpOnly

Response.Cookies.Add(cookie);

重新启动 IIS

完成上述设置后，确保重新启动 IIS 以应用更改：

iisreset

验证设置

可以通过浏览器的开发者工具检查 cookies，确保它们具有 HttpOnly 属性。这样，客户端脚本将无法访问这些 cookies。