我已经下载了Netsparker的试用版，并使用它扫描我的Java应用程序。

正如许多网站建议的那样，我通过在web.xml中将HTTPOnly设置为true来创建安全的cookie。

当我用Firebug检查应用程序时，它显示HttpOnly标志，但是在Netsparker的测试报告中，cookie没有标记为HttpOnly。

如何解决这个问题？为什么Netsparker将此漏洞报告为漏洞并告诉我需要修复此漏洞？还有其他测试方法吗？

首先要注意的是，Secure和HTTPOnly是cookie的两个不同属性。
除此之外，您的应用程序上可能有多个cookie。确保为所有cookie设置HTTPOnly标志。