用 XmlHttpRequest 去访问现有的网站，大部分网页都通过 HTTP Set Cookie header 来设置 cookie，工作得很好。但其中一个页面通过 javascript 脚本设置了 Cookie：

<script language="JavaScript">
<!--
document.cookie="aaa=xxx; path=/; expires=...";
//-->
</script>

这就惨了。这段脚本并不会执行。手工把 cookie 内容提取出来也没用：

• 在$http() 中加上{headers: {'Cookie': 'aaa=xxx'}}，不允许。setHeader 报错refused to set unsafe header cookie。

• 自己设本地 cookie，同样因为安全的需要，不能设置 domain。