HttpOnly
HttpOnly是设置在浏览器中,使JavaScript无法获取Cookie数据,有效减少XSS危害
浏览器支持
2011年已超过99%浏览器支持HttpOnly
设置方法
1 | ini_set( 'session.cookie_httponly', 1 ); |
1 | header( "Set-Cookie: name=value; httpOnly" ); |
或者
1 | setcookie('cookieName','cookieValue',3600,'/',false,TRUE); |
总结
HttpOnly设置只需要增加一行代码即可有效的阻挡XSS等危害,建议大家马上使用起来提升网站安全!
- 本文标题:HttpOnly
- 创建时间:2013-03-20 01:23:13
- 本文链接:posts/5e1.html
- 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!