1.什么是HttpOnly?

如果cookie中設(shè)置了HttpOnly屬性，那么通過js腳本將無法讀取到cookie信息，這樣能有效的防止XSS攻擊，竊取cookie內(nèi)容，這樣就增加了cookie的安全性，即便是這樣，也不要將重要信息存入cookie。XSS全稱Cross SiteScript，跨站腳本攻擊，是Web程序中常見的漏洞，XSS屬于被動式且用于客戶端的攻擊方式，所以容易被忽略其危害性。其原理是攻擊者向有XSS漏洞的網(wǎng)站中輸入(傳入)惡意的HTML代碼，當其它用戶瀏覽該網(wǎng)站時，這段HTML代碼會自動執(zhí)行，從而達到攻擊的目的。如，盜取用戶Cookie、破壞頁面結(jié)構(gòu)、重定向到其它網(wǎng)站等。

2.HttpOnly的設(shè)置樣例

response.setHeader("Set-Cookie", "cookiename=httponlyTest;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
 例如：
//設(shè)置cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

//設(shè)置多個cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//設(shè)置https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

具體參數(shù)的含義再次不做闡述，設(shè)置完畢后通過js腳本是讀不到該cookie的，但使用如下方式可以讀取。

Cookie cookies[]=request.getCookies(); 

XSS攻擊是跨站腳本攻擊，攻擊用戶的客戶端，攻擊者往web網(wǎng)頁里面插入惡意的html代碼，當用戶瀏覽該html頁面時，html頁面里面的代碼就會被執(zhí)行，使用js腳本獲取用戶的cookie信息，獲取到cookie信息上傳至攻擊者的服務(wù)器，攻擊者獲取cookie里面的信息，即被攻擊。比如：郵箱中收到的鏈接等。

測試方法：用戶不隨意點擊不明確的鏈接；cookie加密處理(MD5加密等等)，避免存放關(guān)鍵信息；使用HttpOnly=true