防止JS获取cookie

HttpOnly可以用于防止JavaScript获取cookie,比如document.cookie,这些是一般XSS攻击的一般目标。

代码如下:

 

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; Path=/domain; HttpOnly");

你可能感兴趣的:(JavaScript)