做網站的朋友大部分都會很在意網站的安全，很多都會使用360檢測網站是否存在漏洞或者不安全因素。360檢測中檢查會有這樣一個不安全提示:Cookie沒有HttpOnly標志。查看了360官方的解決方案，大概分為以下4個辦法來處理對一些重要的Cookie添加HttpOnl

Cookie沒有HttpOnly標志

javaEE:

       response.setHeader("Set-Cookie", "cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
設置完畢后通過js腳本是讀不到該cookie的，但使用如下方式可以讀取 Cookie cookies[]=request.getCookies();。

Servlet3:

       在web.xml中添加如下片段： true true。

PHP4:

       header("Set-Cookie: hidden=value; httpOnly");

PHP5:

       setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 最后一個參數為HttpOnly屬性

C#:

       HttpCookie myCookie = new HttpCookie("myCookie"); myCookie.HttpOnly = true; Response.AppendCookie(myCookie);

VB.NET:

       Dim myCookie As HttpCookie = new HttpCookie("myCookie") myCookie.HttpOnly = True Response.AppendCookie(myCookie)

在 .NET 1.1 中您需要手動添加:

       Response.Cookies[cookie].Path += ";HTTPOnly";

網上大神的一些解決辦法:

       PHP5.2以上版本已支持HttpOnly參數的設置，同樣也支持全局的HttpOnly的設置，在php.ini中

-----------------------------------------------------

session.cookie_httponly =

-----------------------------------------------------

設置其值為1或者TRUE，來開啟全局的Cookie的HttpOnly屬性，當然也支持在代碼中來開啟：

Discuz解決辦法:

Discuz只在 用戶登錄信息里默認使用HttpOnly（PHP版本不能低于5.2），這基本夠了，cookie最重要的就是登錄信息了， 360掃描系統一般是游客身份訪問網站，沒有HttpOnly正常 你想全部cookie都HttpOnly，打開 source/function/function_core.php 找到 $httponly = false) 改為 $httponly = true)