在这里我不想多说怎么去操作cookie了，网上博文一大堆，大家可以去自行搜索，在这里也是记录一下自己的知识，以便以后方便查阅。当我们在浏览器地址栏输入地址成功打开网页以后，服务器会把一些信息写入cookie中，但是当我们的网页是可以引入第三方的js的，如果第三方的js文件中有恶意的代码，就可以获取当前页面的cookie，例如：我们当前页面在wwwexample.com，并且在当前页面中引入了www.foo.com/jquery.js，jquery中的恶意代码就可以获取当前页面的cookie，为了解决这个问题，服务器在设置Cookie时可以使用httpOnly，设定了httpOnly的Cookie将不能被JavaScript读取。这个行为由浏览器实现，主流浏览器均支持httpOnly选项

<!-- 当前页面在wwwexample.com -->

<html>

    <head>

        <script src="http://www.foo.com/jquery.js"></script>

    </head>

    ...

</html>