配置当前站点的 cookies 安全策略为 HttpOnly ，可以阻止 XSS 跨站攻击

Cookie的HttpOnly属性能提高安全性,但不是所有的浏览器都支持。

手机浏览器比PC浏览器更容易被窃取cookie信息，原因之一是没有httponly。

下列属于XSS漏洞防御办法的是（） A: HttpOnly B: 验证码 C: 输入检查 D: 输出检查

请问Cookie中的哪个属性可以保证cookie值不能被客户端（如Javascript）进行读取（）。 A: Secure B: HttpOnly C: Expire D: Domain

对于XSS攻击，我们可以做如下防范（） A: 输入过滤 B: 输出编码并安全编码 C: Web应用程序在设置cookie时，将其属性设为HttpOnly D: 部署WAF（Web应用防火墙）

下面关于表达式“session_set_cookie_params(0, null, null, null, true)”的说法错误的是（）。 A: Cookie在会话结束时过期 B: 开启Session的HttpOnly预防XSS攻击 C: 第三个参数用于指定Cookie的作用域 D: 以上说法都不正确

关于Cookie安全，以下说法正确的是（） A: A将HttpOnly设置为True可防止页面脚本写入Cookie B: B设置Secure为True后，浏览器只有在HTTPS协议下访问才会发送该Cookie C: C保存到Cookie里面的敏感信息需要加密 D: D需要给Cookie设置有效期

XSS恶意攻击者，通常会往Web页面里插入恶意JavaScript代码。当其他用户浏览页面时，嵌入其中的JavaScript代码会被执行，从而达到恶意攻击用户的目的。下面哪些是常见的防御XSS的方式：（） A: 在Cookie中设置httponly B: xssfilter（检查输入，设置白名单方式） C: 禁止使用任何富文本输入 D: header中使用content-Sencurity-Policy字段，规定请求js的域名白名单