Web前端学习第三天（cookie 二） - 浅默淡炎

HttpOniy Cookie机制

在http层面传输cookie，当设置HttpOnly标志后，客户端脚本就无法读写该cookie。可以用此防止xss攻击获取cookie

<?php
setcookie("test",1,time()+3600,"",0);//设置普通cookie
setcookie("test_http",1,time()+3600,"","",0,1);
//第7个参数（这里是最后一个）是HttpOnly标志，0为关闭，1为开启，默认为0
?>

Secure Cookie机制

Secure Cookie机制指的是设置了Secure标志的Cookie仅在HTTPS层面上安全传输，

如果请求是HTTP的，就不会带上这个Cookie，降低cookie被截取的危险。Secure Cookie

对于客户端脚本是可以被读写的。就存在被修改

//path于domain必须一致，否则会被认为是不同的cookie
document.cookie="test_secure=hijack;path=/;secure;"

Cookie的P3P性质

　　HTTP响应头的P3P字段事故W3C公布的一项隐私保护推荐标准。该字段用于标识

是否允许目标网站的Cookie被另一个域通过加载目标网站而设置或发送，仅IE执行了该策略。