http中http-only和secure属性
Cookie语法:
Cookie通常是作为HTTP 应答头发送给客户端的,下面的例子展示了相应的语法(注意,HttpOnly属性对大小写不敏感):
- Set-Cookie: =[; =]
- [; expires=][; domain=]
- [; path=][; secure][; HttpOnly]
属性含义
1 secure属性
当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性
如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。
注意:有时候不指定HttpOnly参数为true,可能删除cookie语句无效。
//@setcookie("_mcloudauth", "", time() - 3600);
@setcookie('_mcloudauthcookie', '', time() - 3600, '/', NULL, NULL, true);
//@setcookie("_mcloudauth", "", time() - 3600);
@setcookie('_mcloudauthcookie', '', time() - 3600, '/', NULL, NULL, true);
