cookie 的Secure和HttpOnly属性,更安全

Secure

仅https协议中发送

HttpOnly

仅后台可操作,js不可操作(包括读取),防xss(cross site script)攻击[1][2]

在php中如下四种方式可对cookie的Secure和HttpOnly进行设置

在php.ini中设置

ini_set('session.cookie_httponly', true);
ini_set('session.cookie_cookie_secure', true);

session_start([
    'cookie_httponly' => true,
    'cookie_secure' => true
]);

set_cookie([name, value, expiretime时间戳, path, domain, secure, httponly ])

参考文章


  1. 利用HTTP-only Cookie缓解XSS之痛 ↩

  2. xss跨站脚本攻击 ↩

你可能感兴趣的:(cookie 的Secure和HttpOnly属性,更安全)