httpOnly实现防止XSS时避免JavaScript读取cookie

如果cookie设置了HttpOnly标志，可以在发生XSS时避免JavaScript读取cookie，这也是HttpOnly被引入的原因。

实现方式：

PHP中的设置

    1.在php.ini中

 session.cookie_httponly = true

 

    2.在程序中全局设定：

 <?php
  ini_set("session.cookie_httponly", 1);

 // or
  session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

 ?>

    3.Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项，开启方法为：

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

 setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
 

    4.对于PHP5.1以前版本以及PHP4版本的话，则需要通过header函数来变通下了：

  header("Set-Cookie: hidden=value; httpOnly");