JS获取cookie的程序是document.cookie,但是为了网站安全。服务器可以设置某些cookie不能使用js获取。这种类型的cookie即使httponly的cookie,而且只有服务器能发送此类cookie。
1 | setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); |
在最新php中设置cookie的httponly属性,需要将第七个值设置为true。
在浏览器如何获取httponly属性的cookie呢。需要进入控制台,打开Application
设置httponly属性,对于cookie安全非常重要,这样可以防止XSS攻击,攻击者通过植入JS代码,获取网站的cookie,从而以用户身份浏览服务器。
另外设置cookie过期时间与会话Session时间相同,也能有效保护用户信息安全。
博客内容遵循 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 协议
本文永久链接是:https://blog.sci.ci/2020/07/22/httponly%E7%9A%84Cookie/
