在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTP-only cookie。

在kangle中设置HTTP-only（一步操作实现）
以上讲的方法是通过编程增加HTTP-Only属性，在kangle中我们可以通过访问控制，对cookie增加这一属性，而不用修改程序，非常方便。
进入kangle(2.9.6以上版本)的管理后台(http://localhost:3311/),点左边的"回应控制",再到BEGIN表中增加一条规则。在标记模块中选http_only. Cookie中选择要增加HTTP-Only属性的cookie值(支持正则),我们输入.匹配全部。如图：