我们登陆浏览器后,我们的浏览器会存在cookie,下次再访问其他页面时,浏览器自动传递cookie,实现了不需要登陆即可访问。!假设我们的 cookie被人盗取,就会存在安全危险。
httponly可以用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问 题。 IE6的SP1里就带了对httponly的支持
PHP中的设置
在php.ini中设置 session.cookie_httponly = 其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性
<?php
ini_set("session.cookie_httponly", 1);
// or
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
java中的设置
Java的setHttpOnly方法用于设置cookie是否可以被认为是HTTPOnly。 如果cookie中设置了only属性,则JavaScript脚本将无法读取cookie信息,防止XSS攻击。