请求头cookie 的 httpOnly 问题

httpOnly 的最常见应用场景，即防止网站被 XSS 攻击攻破后，利用 javascript 获取 cookie 中的敏感信息。

它主要是用来禁止 javascript 读取 cookie。

一般由后台在 http 头里设置 cookie 时启用 httpOnly 。

假如后端默认设置了httpOnly=ture 可以通过以下两种修改配置：

 1：conf/context.xml 文件是否存在下面这段 <context  unhttpOnly="true"></context>

 2：或者在 web.xml 里有没有这样的配置：

<sesssion-config>

   <cookie-config>

    <http-only>true</http-only>

   </cookie-config>

</session-congfig>