目前站点一般通过cookie保存登陆、认证等敏感信息，而通过xss窃取cookie，以实现窃取敏感信息、伪造用户登陆等，是一种常见的攻击方式。 httponly是微软在Internet Explorer 6 SP1中为cookie引入的一个新特性，客户端脚本无法访问具有改属性的cookie值。 敏感cookie都应设置为httponly，减轻xss攻击的危害。 目前所有主流浏览器都支持该特性，ph