1.設定HttpOnly

如果您在cookie中設定了HttpOnly屬性，那麼通過js指令碼將無法讀取到cookie資訊，這樣能有效的防止XSS攻擊，具體一點的介紹請google進行搜尋

2.javaEE的API是否支援?

目前sun公司還沒有公佈相關的API，但PHP、C#均有實現。搞javaEE的兄弟們比較鬱悶了，別急下文有變通實現

3.HttpOnly的設定樣例

javaEE
response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

具體引數的含義再次不做闡述，設定完畢後通過js指令碼是讀不到該cookie的，但使用如下方式可以讀取
Cookie cookies[]=request.getCookies();
C#
HttpCookie myCookie = new HttpCookie("myCookie"); 
myCookie.HttpOnly = true; 
Response.AppendCookie(myCookie);

VB.NET
Dim myCookie As HttpCookie = new HttpCookie("myCookie") 
myCookie.HttpOnly = True 
Response.AppendCookie(myCookie)

但是在 .NET 1.1 ,中您需要手動新增
Response.Cookies[cookie].Path += ";HTTPOnly";

PHP4
header("Set-Cookie: hidden=value; httpOnly");

PHP5
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

最後一個引數為HttpOnly屬性

參考
http://www.owasp.org/index.php/HTTPOnly

轉自：http://yzd.iteye.com/blog/787190

http://www.oschina.net/question/100267_65116

將cookie設定成HttpOnly是為了防止XSS攻擊，竊取cookie內容，這樣就增加了cookie的安全性，即便是這樣，也不要將重要資訊存入cookie。

如何在Java中設定cookie是HttpOnly呢？
Servlet 2.5 API 不支援 cookie設定HttpOnly
http://docs.oracle.com/cd/E17802_01/products/products/servlet/2.5/docs/servlet-2_5-mr2/

建議升級Tomcat7.0，它已經實現了Servlet3.0

但是苦逼的是現實是，老闆是不會讓你升級的。
那就介紹另外一種辦法：
利用HttpResponse的addHeader方法，設定Set-Cookie的值
cookie字串的格式：key=value; Expires=date; Path=path; Domain=domain; Secure; HttpOnly

//設定cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

//設定多個cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");

response.addHeader("Set-Cookie", "timeout=30; Path=/test; HttpOnly");

//設定https的cookie

response.addHeader("Set-Cookie", "uid=112; Path=/; Secure; HttpOnly");

在實際使用中，我們可以使FireCookie檢視我們設定的Cookie 是否是HttpOnly

http://zhenghaoju700.blog.163.com/blog/static/13585951820138267195385/