1. 问题说明
如果我们为Cookie设置HttpOnly的属性,那么就可以防止系统有Cookie的信息泄露。比如,我们使用javascript:alert(document.cookie)的主语句就可以查看自己的Cookie的信息是还泄露了。自己的Cookie信息一但泄露了,就可能对系统的安全造成威胁了。
2. 解决办法
在Tomcat下的conf的web.xml加入如下信息。
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<session-config>