HttpOnly可以用于防止JavaScript获取cookie,比如document.cookie,这些是一般XSS攻击的一般目标。
代码如下:
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; Path=/domain; HttpOnly");
HttpOnly可以用于防止JavaScript获取cookie,比如document.cookie,这些是一般XSS攻击的一般目标。
代码如下:
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; Path=/domain; HttpOnly");