httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
因为这个设置之前一些机构进行安全检测的时候有提到过,也会把此项标注为风险。为了安全保障还是改一下。
PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中
session.cookie_httponly = 设置其值为1或者TRUE,来开启全局的Cookie的HttpOnly属性
在PHP中可以使用代码设置cookie
<?php
ini_set("session.cookie_httponly", 1);
// or
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
?> Cookie操作函数setcookie函数和setrawcookie函数也专门添加了第7个参数来做为HttpOnly的选项,开启方法为:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);
setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);对于PHP5.1以前版本以及PHP4版本的话,则需要通过header函数来变通下了:
<?php
header("Set-Cookie: hidden=value; httpOnly");
?> 记录一下。防止忘记了。
织梦如何添加httponly?
编辑 /include/helpers/cookie.helper.php
setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie,TRUE,TRUE);
setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie,TRUE,TRUE);© 版权声明
文章版权归作者所有,未经允许请勿转载。