- cookie 옵션으로, RFC 에는 명시되어 있지 않지만, 지금은 거의 대부분의 브라우저들이 지원
- 이 옵션을 설정하면, 서버로 http Request 요청시에만 cookie 를 전송함.
- document.cookie 같은 스크립트 언어로 브라우저의 cookie 를 호출했을 때 브라우저가 응답을 하지 않음.
- servlet 3.0 부터 추가됨.

-- web.xml (servlet 3.0 지원되는 경우 web.xml 에 설정 가능, 안되면 WAS에 설정 해야)

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
    id="WebApp_ID">

....


    <session-config>
        <session-timeout>-1</session-timeout>

        <!-- httpOnly -->
        <cookie-config>
            <http-only>true</http-only>
        </cookie-config>
    </session-config>

....