根据Microsoft Developer Network的说法，HttpOnly & Secure是 Set-Cookie HTTP 响应标头中包含的附加标志。

在 Set-Cookie 中使用 HttpOnly 有助于减轻最常见的XSS 攻击风险。

这可以由开发人员在应用程序中完成，也可以在 Tomcat 中实现以下内容。

作为最佳实践，在修改之前备份配置文件，如果可能在非生产环境中进行测试，以确保它不会破坏应用程序。

让我们看看如何实现这一点。

在 Tomcat 6.x 中实现 HttpOnly 和 Secure 标志

登录到Tomcat服务器
转到Tomcat安装路径，然后转到conf文件夹
context.xml 使用 vi 编辑器打开并更新Context部分，如下所示
useHttpOnly="true"
前任：

接下来，添加一个安全标志。

打开server.xml并在下面Connector port添加
secure="true"
重启 Tomcat 服务器以测试应用程序

在 Tomcat 7.x/8.x/9.x 中实现

转到 Tomcat >> conf 文件夹
打开 web.xml 并在下面的session-config部分中添加
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
前任：

保存文件并重新启动 Tomcat 进行测试。
确认
有多种方法。

扫描二维码关注公众号，回复： 14440070 查看本文章

如果您正在测试 Intranet 应用程序，那么您可以使用 Chrome、IE 或 Firefox 等浏览器内置的开发人员工具。

但是，如果面向 Internet 或想在外部对其进行测试，则可以使用 HTTP Header Checker在线工具。

我希望这会增加一层Tomcat 安全性。在此处了解有关 Tomcat 管理的更多信息。