http-only标志未设置

可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

“HttpOnly”属性的会话 cookie。由于此会话 cookie 不包含“HttpOnly”属性，因此

注入站点的恶意脚本可能访问此 cookie，并窃取它的值。任何存储在会话令牌中的
信息都可能被窃取，并在稍后用于身份盗窃或用户伪装。

 

 

解决方法：

和解决Tomcat配置“X-Frame-Options头未设置”警告的过滤器方式一样，配置进去

 

response.setHeader("Set-Cookie", "cookiename=value;Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

 

如未能解决可以参考：霸气虚幻哥-隔壁老王  

 

HTTPS   详细X

基本翻译

abbr. 超文本传输协议安全（Hyper Text Transfer Protocol）

网络释义

HTTPS: HTTP Secure

HTTPS tracker: 支援

android https: 通信安全