未启用 HttpOnly,×××者就能更容易地访问用户 cookie,会造成XSS×××

在web.xml里加入这个启用即可

  1. <session-config>
      <cookie-config>
       <http-only>true</http-only>
      </cookie-config>
    </session-config>