通过 controller设置的cookie都是httponly的

估计得提供一下需求背景，然后波总会考量。或者自己用的话，可以在base层重写覆盖一下这几个方法

@要输就输给追求 不是httponly，secure跟httponly都是cookie的一个属性

@杜福忠 com.jfinal.core.Controller.doSetCookie()方法中增加cookie.setSecure(true/false)，放开这个属性值。

@杜福忠 场景是有的，这个属性的默认值是false，但是有些情况下需要设置成true

@杜福忠 目前我就是重写了这个方法，代码99%都是一致的，就是多一个cookie.setSecure(true)所以觉得放开这个属性值 就好了