分類: php security

php httponly

要防止網站的cookie被javascript存取,可以使用以下程式碼。
ini_set(“session.cookie_httponly”,1);

PHP 官方的教學是用 session_set_cookie_params 這個 function,可參考官方網頁的這篇說明

要得知某個網站是否有設定httponly,可以用這個chrome套件:EditThisCookie

安裝了之後,直接點右上角的圖示即可。

參考文章:
setcookie-httponly-security-issues-of-http-headers-3/