set-cookie设置HttpOnly,然后在文件头部添加如下代码:
ini_set("session.cookie_httponly", TRUE);
刷新页面之后,HttpOnly仍然是false;
给浏览器的返回头信息:
Set-Cookie: =[; =]
[; expires=][; domain=]
[; path=][; secure][; HttpOnly]
代码里添加如下代码:
Http::header("Set-Cookie: session_id=".$session_id.";Path=/;Max-Age=".SESSION_TTL.";Domain=".COOKIE_DOMAIN.";'';Secure=true; HttpOnly=true");
再次刷新页面,HttpOnly就变成true了。