Httponly
httponly是微软对cookie做的扩展,这个主要是解决用户的cookie可能被盗用的问题。通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击
PHP中设置
PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
session.cookie_httponly =
1 | <?php ini_set("session.cookie_httponly", 1); |
Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:1
2
3
4<?php
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
?>
对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:1
2
3
4<?php
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
?>
参考资料:
https://blog.csdn.net/china_skag/article/details/41484193?winzoom=1