通过配置php.ini参数session.cookie_httponly来开启和关闭PHP的httponly。
- 1表示开启
- 0表示关闭
这是开启的示例
这是关闭的示例
或者可以在程序中使用
ini_set("session.cookie_httponly", 1);//开启
ini_set("session.cookie_httponly", 0); //关闭PHP中设置httponly
httponly表示设置 cookie 仅能够通过 HTTP 协议访问。 它意味着 cookie 无法通过类似 JavaScript 这样的脚本语言访问,如document.cookie获取不到cookie的值。 该设置可有效避免 XSS 攻击窃取身份(但并非所有浏览器都支持)。