1
我知道這已被問過,但我需要一些澄清和確認。 我在創建cookie時被告知,要使用httponly來防止XSS。當我使用ajax php查詢時,cookie可以被HTTP訪問嗎?
所以我的澄清是如果我使用httponly,我的php腳本通過ajax請求訪問仍然能夠確定我的活動php會話(默認:phpssessid)並檢索我的$ _SESSION變量?
事情是我沒有用httponly選項設計,我擔心如果添加該選項將以任何方式影響腳本的設計。
謝謝!
所以設置我的cookie被的HttpOnly不會破壞我的會話或頁面通過AJAX正確更新? :) 謝謝 – Lyon 2010-07-29 09:24:31