HttpOnly可以防止使用javascript脚本来获取cookie值,可能会造成cookie劫持攻击。
php5.2以上已经支持HttpOnly,在php.ini文件中找到session.cookie_httponly设置为1或true
当然在代码设置也可以
ini_set('session.cookie_httponly',1) session_set_cookie_params(0,null,null,null,true);
在setcookie和setrawcookie函数也有专门的httponly
setcookie('abc', 'test', NULL, NULL, NULL, NULL, TRUE); setrawcookie('abc', 'test', NULL, NULL, NULL, NULL, TRUE);
对于php5.1以前以及php4
header('Set-Cookie: hidden=value; httpOnly');