目前站点一般通过cookie保存登陆、认证等敏感信息,而通过xss窃取cookie,以实现窃取敏感信息、伪造用户登陆等,是一种常见的攻击方式。 httponly是微软在Internet Explorer 6 SP1中为cookie引入的一个新特性,客户端脚本无法访问具有改属性的cookie值。 敏感cookie都应设置为httponly,减轻xss攻击的危害。 ...