HttpOnly和HostOnly

HttpOnly和HostOnly都是xss攻击的解决方式，不同之处在于标注了HttpOnly的数据不能使用JavaScript读取，标注了HostOnly的数据只有在指定网站内发送请求才会返回。

例如：

1、Cookie标注了HttpOnly的数据，使用document.cookie就无法读取。

2、Cookie标注了HostOnly的数据中Domain字段的值为www.test1.com，下次请求时请求头中的Origin字段就必须得是www.test1.com，响应才会返回由HostOnly标注的数据。