1、很多开发者不管Session机制的技术细节，很多连那个SessionID都不知道。
2、按道理，提供Session机制的容器啊框架啊应该添加好httponly属性，可惜现实不是这样。
【 在 vonNeumann 的大作中提到: 】
: session cookie 不应该设成 httponly 么？
:
: 好吧.. 能留下 XSS 漏洞的开发者，多半也想不到要用 httponly...
: ...................
--
FROM 124.42.13.*