关于安全性：如何在PHP中设置使用HttpOnly cookie

如何将PHP apps中的cookie设置为HttpOnly cookies？

对于Apache上PHP自己的会话cookie：
将此添加到您的Apache配置或.htaccess

只要在session_start()之前调用它，也可以在脚本中设置它。

• 对于您的Cookie，请参见此答案。
• 有关PHP自己的会话cookie(默认为PHPSESSID)，请参见@richie的答案

在PHP 5.2.0的黑暗年代，setcookie()和setrawcookie()函数引入了httponly参数，使此操作变得轻松愉快。根据语法，只需将第7个参数设置为true

简化功能语法

输入NULL作为您希望保留为默认值的参数。
您可能还需要考虑是否应该设置secure参数。

也可以使用较低的较低级别的header()函数：

请注意，默认情况下，PHP会话cookie不使用httponly。

要做到这一点：

这里有几个注意事项：

• 您必须致电session_name()
  session_start()之前
• 这也是
  将默认路径设置为" /"，即
  对于Opera是必需的，但是哪个PHP
  会话Cookie默认情况下不执行
  要么。

请注意，HttpOnly不会停止跨站点脚本编写；相反，它抵消了一种可能的攻击，目前仅在IE上进行(FireFox在XmlHttpRequest中公开HttpOnly cookie，而Safari完全不支持)。一定要打开HttpOnly，但是在进行交易时，甚至不要花费一个小时的输出过滤和模糊测试。

资源

您可以在set cookie函数中指定它，请参见php手册

来自Ilia的解释...仅5.2

PHP 5.2中的httpOnly cookie标志支持

如该文章所述，您可以在以前的PHP版本中自行设置标头

您可以在头文件中使用它。

这样，以后所有的会话cookie都将使用httponly。

• 更新。

php_flag命令的正确语法是

并且要注意，服务器的第一个答案就是设置cookie，然后在此处设置(例如，您可以看到" HttpOnly"指令。因此，为了进行测试，请在每次测试请求后从浏览器中删除cookie。