响应报文

报文头

set-cookies ：记录客户端信息，只有一开头回复200的包里面有，httponly不是所有服务器都设置，设置httponly字段，用于解决xss跨站请求脚本攻击，js脚本不能获取cookie

sever：表示web服务器信息，有时候服务器信息全部都暴露了，不希望有详细版本号。如Apache 。。。版本

X-Powered-By ：告诉客户端用什么版本，版本号。不希望有详细版本号。PHP。。。版本

响应字段

• Sever   

<Apache ---服务器通过什么软件服务>

• X-powered-by   

<PHP----OS---->

http Only这个字段并不是每个web服务器都会去设置这个字段的值

所以在一些set-cookie的内容中也看不到http-only的值或字段

规范化的做法是设置http-only，避免使用JScript获取set-cookie的数值

server 字段可以提供服务器软件信息 可以利用找漏洞 根据版本号找漏洞

x-ponered-by  服务器本地使用的系统和编程语言