首页 > 程序开发 > PHP > javascript不能读取php设置的cookie的方法
2014
05-27

javascript不能读取php设置的cookie的方法

PHP setcookie 函数的最后一个参数 $httponly 为 true 时,cookie 只能被通过 http 协议读取,而不能被客户端脚本(包括 JS)读取。该选项有助于减少 XSS 跨站脚本攻击。

该选项从 PHP 5.2.0 开始被支持,并且不是所有的浏览器都支持这个特性。

既然不是所有的浏览器都支持这个特性,那么仅依靠这个特行来提升安全性就不那么靠谱了。其实,可以考虑将 cookie 加密,那么 Server 发送给 Client 的 cookie 就无法被客户端 JS 解密(因为 JS 不知道解密算法)。这就提升了安全性能。

说到 setcookie 函数,其实 $secure 这个参数项平时我们使用的也比较少,应该引起注意。这个参数表明是否仅仅允许通过 https 安全连接来传输这个 cookie 项。

最后编辑:
作者:严嵩
这个作者貌似有点懒,什么都没有留下。
捐 赠如果您觉得这篇文章有用处,请支持作者!鼓励作者写出更好更多的文章!