Cookie

HttpOnly

通过设置HttpOnly，可以避免跨域脚本XSS攻击，不能通过JavaScript的 document.cookie API无法访问带有 HttpOnly 标记的Cookie

Secure

标记为 Secure 的Cookie只应通过被HTTPS协议加密过的请求发送给服务端。

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies