为防止攻击者利用网站XSS漏洞获取网站cookie（如果管理员cookie被获取，攻击者有可能登录网站后台）。可以在cookie中增加httponly属性。

ASP实现方法如下：

当需要向浏览器写入Cookie时，利用Response.AddHeader代替Response.Cookies("X")="Y"

Response.AddHeader "Set-Cookie", "mycookie="&yo&"; HttpOnly"