cookie的安全性设置

为了解决XSS(跨站脚本攻击)的问题,IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)

所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。

在PHP中,cookie的HttpOnly有两种设置方式。

 

 

方法一:

header("Set-Cookie:tmp=100;HttpOnly");

方法二:

setcookie("tmp", 100, NULL, NULL, NULL, NULL, TRUE);

 

你可能感兴趣的:(cookie)