既然 HttpOnly 可以防止 XSS 偷取 Cookie，為什麼沒有被廣泛使用？

回覆內容：

http-only 可以防止cookie被偷取，但是卻不是萬能的，方便與安全總是背道而馳的。在開發上面，除非整體架構一開始部署httponly，這樣後期維護成本相對較低。否則到了後期，普遍想部署httponly就相對困難了。主要體現在：業務線很長的情況下，部署httponly就等於牽一發而動全身了。
以騰訊為例：你會發現他裡面有一段程式碼：
document.domain="http://qq.com*";
即不同的二級網域*. //qq.com甚至更多級網域都能同步cookie等使用者資訊。 這樣帶來的是使用者體驗的提升，但是，也為安全問題埋下了伏筆。
騰訊的一個二級網域xss能做什麼？可以看看pkav的這個影片：

網路真的安全麼？ http://v.qq.com/boke/play/t/v/m/t1063qxrovm.html?_out=102 ，總結了這麼多，上面寫著： 、httponly普及【廣泛使用】與否還得看場景，脫離場景談論httponly就是耍流氓。
2、httponly並不是萬能的。 Apache的cve-2012-0053能突破httponly。