php HttpOnly

HttpOnly可以防止使用javascript脚本来获取cookie值,可能会造成cookie劫持攻击。

php5.2以上已经支持HttpOnly,在php.ini文件中找到session.cookie_httponly设置为1或true

当然在代码设置也可以

1
2
ini_set ( 'session.cookie_httponly' ,1)
session_set_cookie_params(0,null,null,null,true);

在setcookie和setrawcookie函数也有专门的httponly

1
2
setcookie( 'abc' , 'test' , NULL, NULL, NULL, NULL, TRUE);
setrawcookie( 'abc' , 'test' , NULL, NULL, NULL, NULL, TRUE);

对于php5.1以前以及php4


1
header( 'Set-Cookie: hidden=value; httpOnly' );


你可能感兴趣的:(JavaScript,null,cookie,hidden)