如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。
实现方式:
PHP中的设置
1.在php.ini中 session.cookie_httponly = true
2.在程序中全局设定:
<?php
ini_set("session.cookie_httponly", 1);
// or
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?>
3.Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
4.对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:
header("Set-Cookie: hidden=value; httpOnly");
httpOnly实现防止XSS时避免JavaScript读取cookie
原文:http://phpme.blog.51cto.com/663593/1771572