如何防范xss攻击获cookie

在HTTP头部配上“set-cookie：httponly-”，httponly-这个属性可以预防xss攻击以及禁止javascript脚本来访问cookie，而“set-cookie：secure - ”这个属性可以告诉浏览器仅在请求为https的时候发送cookie。