HttpOniy Cookie机制
在http层面传输cookie,当设置HttpOnly标志后,客户端脚本就无法读写该cookie。可以用此防止xss攻击获取cookie
<?php
setcookie("test",,time()+,"",);//设置普通cookie
setcookie("test_http",,time()+,"","",,);
//第7个参数(这里是最后一个)是HttpOnly标志,0为关闭,1为开启,默认为0
?>
Secure Cookie机制
Secure Cookie机制指的是设置了Secure标志的Cookie仅在HTTPS层面上安全传输,
如果请求是HTTP的,就不会带上这个Cookie,降低cookie被截取的危险。Secure Cookie
对于客户端脚本是可以被读写的。就存在被修改
//path于domain必须一致,否则会被认为是不同的cookie
document.cookie="test_secure=hijack;path=/;secure;"
Cookie的P3P性质
HTTP响应头的P3P字段事故W3C公布的一项隐私保护推荐标准。该字段用于标识
是否允许目标网站的Cookie被另一个域通过加载目标网站而设置或发送,仅IE执行了该策略。