flask的httponly默认值为True

如图flask的app.py里显示app的默认配置，httponly默认值为true，所以如果开发者不修改这个配置的话，攻击者是无法通过xss攻击读取浏览器cookie这部分信息的。

Cookie:sessionid=xxxx;nsessionid=xxxxx 这里的分号表示有两个session信息，httponly设置也是需要设置两次的

 Tsession为flask的app生成的session，得到了保护（httponly）

但是其他cookie信息没有受到保护，是可以直接js读取的