HttpOnly 옵셔은 XSS(Cross Site Scripting)를 막기 위해, HTTP 요청이 아닌 자바 스크립트에서 cookie 접근을 막기 위해 설정한다.위의 옵션이 설정되면, XSS에서 document.cookie를 통해 cookie를 접근할 수 없다. JBoss EAP5에서는 "$PROFILE\deploy\jbossweb.sar\context.xml" 파일에 아래와 같이 설정한다. JBoss EAP6에서는 Web Application의 web.xml 파일에 아래와 같이 설정한다. 60 true true COOKIE [글참조] https://access.redhat.com/solutions/338313