1.什么是HttpOnly?

如果cookie中設置了HttpOnly屬性，那么通過js腳本將無法讀取到cookie信息，這樣能有效的防止XSS攻擊，竊取cookie內容，這樣就增加了cookie的安全性，即便是這樣，也不要將重要信息存入cookie。XSS全稱Cross SiteScript，跨站腳本攻擊，是Web程序中常見的漏洞，XSS屬于被動式且用于客戶端的攻擊方式，所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)惡意的HTML代碼，當其它用戶瀏覽該網站時，這段HTML代碼會自動執(zhí)行，從而達到攻擊的目的。如，盜取用戶Cookie、破壞頁面結構、重定向到其它網站等。

2.HttpOnly的設置樣例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如：
//設置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//設置多個cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//設置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具體參數的含義再次不做闡述，設置完畢后通過js腳本是讀不到該cookie的，但使用如下方式可以讀取。

Cookie cookies[]=request.getCookies(); 

XSS攻擊是跨站腳本攻擊，攻擊用戶的客戶端，攻擊者往web網頁里面插入惡意的html代碼，當用戶瀏覽該html頁面時，html頁面里面的代碼就會被執(zhí)行，使用js腳本獲取用戶的cookie信息，獲取到cookie信息上傳至攻擊者的服務器，攻擊者獲取cookie里面的信息，即被攻擊。比如：郵箱中收到的鏈接等。

測試方法：用戶不隨意點擊不明確的鏈接；cookie加密處理(MD5加密等等)，避免存放關鍵信息；使用HttpOnly=true