HttpOnly Cookies是一个cookie安全行的解决方案。

在支持HttpOnly cookies的浏览器中(IE6+，FF3.0+)，如果在Cookie中设置了"HttpOnly"属性，那么通过JavaScript脚本将无法读取到Cookie信息，这样能有效的防止XSS攻击，让网站应用更加安全。

但是J2EE4，J2EE5 的Cookie并没有提供设置 HttpOnly 属性的方法，所以如果需要设置HttpOnly属性需要自己来处理。

import javax.servlet.http.Cookie;

import javax.servlet.http.HttpServletResponse;

public class CookieUtil {

/**

* 设置HttpOnly Cookie

* @param response HTTP响应

* @param cookie Cookie对象

* @param isHTTPOnly 是否为HttpOnly

*/

public static void addCookie(HttpServletResponse response, Cookie cookie, boolean isHttpOnly) {

String name = cookie.getName();//Cookie名称

String value = cookie.getValue();//Cookie值

int maxAge = cookie.getMaxAge();//最大生存时间(毫秒,0代表删除,-1代表与浏览器会话一致)

String path = cookie.getPath();//路径

String domain = cookie.getDomain();//域

boolean isSecure = cookie.getSecure();//是否为安全协议信息

StringBuilder buffer = new StringBuilder();

buffer.append(name).append("=").append(value).append(";");

if (maxAge == 0) {

buffer.append("Expires=Thu Jan 01 08:00:00 CST 1970;");

} else if (maxAge > 0) {

buffer.append("Max-Age=").append(maxAge).append(";");

}

if (domain != null) {

buffer.append("domain=").append(domain).append(";");

}

if (path != null) {

buffer.append("path=").append(path).append(";");

}

if (isSecure) {

buffer.append("secure;");

}

if (isHttpOnly) {

buffer.append("HTTPOnly;");

}

response.addHeader("Set-Cookie", buffer.toString());

}

}

值得一提的是，Java EE 6.0 中 Cookie已经可以设置HttpOnly了，所以如果是兼容 Java EE 6.0 的容器(例如如 Tomcat 7)，可以直接使用Cookie.setHttpOnly 的方法来设置HttpOnly：

cookie.setHttpOnly(true);