今天调试解决梁总的本地环境无法取得项目间的cookie信息的问题，测试了1个多小时发觉我本地环境正常，但她的始终无法取得跨项目的cookie。知道她的netbeans自带tomcat7，后来干脆让她换了tomcat6。果不其然，可以了。

找找资料，发觉tomcat7在cookie方面做了安全方面的出来，默认为“HTTPOnly”——通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这样能有效的防止XSS攻击。

一种比较简单但不见得很好的解决方法：设置应用禁止HttpOnly或身份标识Cookie创建时创建禁止Cookie：useHttpOnly=false即可然后安全性自己控制：如cookie加密等

<?xml version=”1.0″ encoding=”UTF-8″ ?>  
<Context path=”/${tomcat.deployName}” docBase=”${basedir}/WebRoot” useHttpOnly=”false”/>  

 相关资料：

cookie使用安全：http://xmong.iteye.com/blog/1566102

Tomcat7新特性cookie HttpOnly的那些事(sessionid获取麻烦了)： http://skzr-org.iteye.com/blog/975884