如何在PHP中设置使用HttpOnly cookie

如何在我的PHP appsas中设置cookie HttpOnly cookies？

• 对于 您的Cookie，请参见此答案。
• 有关PHP自己的会话Cookie（PHPSESSID默认为），请参见@richie的答案

该setcookie()和setrawcookie()功能，介绍了httponly参数，早在PHP 5.2.0的黑暗时代，使这个漂亮和容易。根据语法，只需将第7个参数设置为true

简化功能语法

setcookie(    $name, $value, $expire, $path, $domain, $secure, $httponly )
setrawcookie( $name, $value, $expire, $path, $domain, $secure, $httponly )

输入NULL您希望保留为默认值的参数。您可能还需要考虑是否应设置secure参数。

也可以使用较旧的较低级别的header()功能：

header( "Set-Cookie: name=value; httpOnly" );

对于Apache上PHP自己的会话cookie：
将其添加到您的Apache配置中，或者.htaccess

<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule>

只要在before之前调用它，也可以在脚本中设置它session_start()。

ini_set( 'session.cookie_httponly', 1 );

请注意，httponly默认情况下不使用PHP会话cookie 。

要做到这一点：

$sess_name = session_name();
if (session_start()) {
    setcookie($sess_name, session_id(), null, '/', null, null, true);
}

这里有几个注意事项：

• 你必须调用session_name() 之前session_start()
• 这还将默认路径设置为'/'，这对于Opera来说是必需的，但是默认情况下也不使用PHP会话cookie。

请注意，HttpOnly不会停止跨站点脚本；它不会阻止跨站点脚本。相反，它抵消了一种可能的攻击，目前仅在IE上进行（FireFox在XmlHttpRequest中公开HttpOnly cookie，而Safari完全不接受）。一定要打开HttpOnly，但是在进行交易时，甚至不要放弃一个小时的输出过滤和模糊测试。

<?php
//None HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, FALSE); 

//HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

?>

资源

来自Ilia的解释...仅5.2

PHP 5.2中的httpOnly cookie标志支持

如该文章所述，您可以在以前的PHP版本中自行设置标头

header("Set-Cookie: hidden=value; httpOnly");

您可以在set cookie函数中指定它，请参见php手册

setcookie('Foo','Bar',0,'/', 'www.sample.com'  , FALSE, TRUE);

您可以在头文件中使用它。

// setup session enviroment
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);

这样，以后所有的会话cookie都将使用httponly。

• 更新。

php_flag命令的正确语法是

php_flag  session.cookie_httponly On

并且要注意，服务器的第一个答案就是设置cookie，然后在此处（例如，您可以看到“ HttpOnly”指令。因此，为了进行测试，在每次测试请求后都从浏览器中删除cookie。

自PHP> = 7.0以来的更优雅的解决方案

session_start(['cookie_lifetime' => 43200,'cookie_secure' => true,'cookie_httponly' => true]);

session_start

session_start选项