HttpOnly可以防止使用javascript腳本來獲取cookie值,可能會造成cookie劫持***。
php5.2以上已經支持HttpOnly,在php.ini文件中找到session.cookie_httponly設置爲1或true
當然在代碼設置也可以
1 2 | ini_set ( 'session.cookie_httponly' ,1) session_set_cookie_params(0,null,null,null,true); |
在setcookie和setrawcookie函數也有專門的httponly
1 2 | setcookie( 'abc' , 'test' , NULL, NULL, NULL, NULL, TRUE); setrawcookie( 'abc' , 'test' , NULL, NULL, NULL, NULL, TRUE); |
對於php5.1以前以及php4
1 | header( 'Set-Cookie: hidden=value; httpOnly' ); |