cookie-http-only

[TOC] ## 作用 为了防止xss攻击时,可以通过`document.cookie`获取敏感的cookie信息.设置cookie 为`http-only`, 如此在http 请求中会携带cookie,但是无法通过`document.cookie` 获取 ## 用php 实现http-only ``` setcookie('session_id', "asd", null, '/', null, null,true);//最后参数设置http-only //如果设置了true ,控制台不输出,false:输出session_id=asd echo "" ```