什么是PHP HttpOnly Cookie？

HttpOnly Cookie 是一個(gè)HTTP響應(yīng)頭，告訴瀏覽器僅通過HTTP請求訪問cookie，并且不允許通過JavaScript訪問它。這項(xiàng)安全設(shè)置可以防止跨站點(diǎn)腳本攻擊（XSS）和cookie劫持。

想象一個(gè)場景，你正在使用在線銀行服務(wù)進(jìn)行轉(zhuǎn)賬。如果一個(gè)XSS攻擊者向你發(fā)送了一個(gè)帶有惡意JavaScript的鏈接，他可能能夠通過該鏈接來訪問您的cookie，從而盜取您的銀行帳戶憑據(jù)。但是，如果cookie是HttpOnly的，它就可以通過瀏覽器自動(dòng)發(fā)送，但腳本無法訪問cookie。

下面是PHP中創(chuàng)建和設(shè)置HttpOnly cookie的例子：

在上面的代碼中，true參數(shù)是用于設(shè)置HttpOnly的。如果你想要?jiǎng)?chuàng)建HttpOnly cookie，必須設(shè)置true第二個(gè)參數(shù)為true。

如果您的應(yīng)用程序依賴于cookie來存儲(chǔ)數(shù)據(jù)，HttpOnly cookie是一個(gè)很好的安全措施，但這并不意味著您可以放心大膽的使用cookie，因?yàn)閏ookie本身并不是完美無缺的安全措施。

同時(shí)，HttpOnly cookie不能阻止一些攻擊，如CSRF（跨站點(diǎn)請求偽造）。雖然HttpOnly cookie可以限制cookie劫持，但如果一個(gè)攻擊者成功進(jìn)行了CSRF攻擊，他仍然可以發(fā)送HTTP請求，以某種方式操縱您的session并竊取您的數(shù)據(jù)。因此，在開發(fā)Web應(yīng)用程序時(shí)，需要采取其他措施來防止其他安全攻擊。