當我使用ajax php查詢時，cookie可以被HTTP訪問嗎？

Question

我知道這已被問過，但我需要一些澄清和確認。 我在創建cookie時被告知，要使用httponly來防止XSS。

所以我的澄清是如果我使用httponly，我的php腳本通過ajax請求訪問仍然能夠確定我的活動php會話（默認：phpssessid）並檢索我的$ _SESSION變量？

事情是我沒有用httponly選項設計，我擔心如果添加該選項將以任何方式影響腳本的設計。

謝謝！

Answer 1

我不確定我是否收到這個問題，但這裏有一個問題：您需要在您從主頁上調用的腳本中以相同方式設置會話。例如，我在我的主頁面中包含一個「包含」文件，以及我使用ajax從該頁面調用的任何文件。

所以，我的index.php頂部對我ajax_helper.php文件

<?php include "db.php"; ?> 

的db.php中文件包含MySQL啓動命令的頂部

<?php include "db.php"; ?><!DOCTYPE... 

同樣的事情， session_start以及網站上所有頁面通用的其他內容。這樣，會議可以在任何地方進行。

我希望是有道理的，並回答您的問題