1、HttpOnlyHttpOnly最早由微软提出，并在IE6中实现，至今已经逐渐成为一个标准。浏览器将禁止页面的javascript访问带有HttpOnly属性的Cookie。严格来说，HttpOnly并非为了对抗XSS，HttpOnly解决的是XSS后的Cookie劫持攻击。PHP设置带HttpOnly属性Cookie的方法是使用自带的setcookie函数：setcookie('PHPSESSID', '79ce945e3bfd1917919e63a7ddbfe385', null, null, null, null, true);最后一个参数是设置httponly属性，执行后服务器会发送如下设置cookie的头：Set-Cookie:PHPSESSID=79ce945e3bfd191...