HttpOnly可以防止使用javascript脚本来获取cookie值,可能会造成cookie劫持***。
php5.2以上已经支持HttpOnly,在php.ini文件中找到session.cookie_httponly设置为1或true
当然在代码设置也可以
1
2
|
ini_set
(
'session.cookie_httponly'
,1)
session_set_cookie_params(0,null,null,null,true);
|
在setcookie和setrawcookie函数也有专门的httponly
1
2
|
setcookie(
'abc'
,
'test'
, NULL, NULL, NULL, NULL, TRUE);
setrawcookie(
'abc'
,
'test'
, NULL, NULL, NULL, NULL, TRUE);
|
对于php5.1以前以及php4
1
|
header(
'Set-Cookie: hidden=value; httpOnly'
);
|
转载于:https://blog.51cto.com/8268936/1336668