在xss***中，有種方式便是身份偽造，***者通過惡意腳本獲取用戶的cookie信息，以此cookie信息偽造真實(shí)用戶去訪問用戶的私密空間。

橋西網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),橋西網(wǎng)站設(shè)計(jì)制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為橋西超過千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站建設(shè)要多少錢，請(qǐng)找那個(gè)售后服務(wù)好的橋西做網(wǎng)站的公司定做！

在本片文章中，我們談及httponly與cookied的安全問題。

httponly最早由微軟提出，即瀏覽器禁止頁面js訪問帶有HttpOnly屬性的cookie。HttpOnly并不直接對(duì)抗XSS***，只是防止XSS***者竊取cookie。對(duì)于存放敏感信息的cookie，可以通過設(shè)置該屬性來避免***者竊取cookie。

下面談?wù)勅绾伍_啟HttpOnly屬性，其實(shí)在php.ini中我們開啟就行,就像這樣：

，或在會(huì)話中開啟會(huì)話級(jí)別的HttpOnly屬性：ini_set()。

關(guān)于其它的問題詳見：http://netsecurity.51cto.com/art/201305/393775.htm

關(guān)于cookie的覆蓋問題見：http://netsecurity.51cto.com/art/201404/435401.htm