- 浏览: 2564 次
- 性别:
- 来自: 北京
最新评论
文章列表
HttpOnly可以用于防止JavaScript获取cookie,比如document.cookie,这些是一般XSS攻击的一般目标。
代码如下:
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; Path=/domain; HttpOnly");
- 2009-05-11 23:11
- 浏览 2564
- 评论(0)