cookie的安全性设置

为了解决XSS（跨站脚本攻击）的问题，IE6开始支持cookie的HttpOnly属性，这个属性目前已被大多数浏览器（IE、FF、Chrome、Safari）

所支持。当cookie中的HttpOnly属性被设置为true时，前端脚本就无法访问或操作cookie了（只能通过后台访问），这样XSS就失效了。

在PHP中，cookie的HttpOnly有两种设置方式。

?

?

方法一：

header("Set-Cookie:tmp=100;HttpOnly");

方法二：

setcookie("tmp", 100, NULL, NULL, NULL, NULL, TRUE);

?