cookie的安全性设置
为了解决XSS(跨站脚本攻击)的问题,IE6开始支持cookie的HttpOnly属性,这个属性目前已被大多数浏览器(IE、FF、Chrome、Safari)
所支持。当cookie中的HttpOnly属性被设置为true时,前端脚本就无法访问或操作cookie了(只能通过后台访问),这样XSS就失效了。
在PHP中,cookie的HttpOnly有两种设置方式。
?
?
方法一:
header("Set-Cookie:tmp=100;HttpOnly");
方法二:
setcookie("tmp", 100, NULL, NULL, NULL, NULL, TRUE);
?
