Web前端學習第三天（cookie 二）

HttpOniy Cookie機制

在http層面傳輸cookie，當設置HttpOnly標誌後，客戶端腳本就沒法讀寫該cookie。能夠用此防止xss攻擊獲取cookie

<?php
setcookie("test",1,time()+3600,"",0);//設置普通cookie
setcookie("test_http",1,time()+3600,"","",0,1);
//第7個參數（這裏是最後一個）是HttpOnly標誌，0爲關閉，1爲開啓，默認爲0
?>

Secure Cookie機制

Secure Cookie機制指的是設置了Secure標誌的Cookie僅在HTTPS層面上安全傳輸，

若是請求是HTTP的，就不會帶上這個Cookie，下降cookie被截取的危險。Secure Cookie

對於客戶端腳本是能夠被讀寫的。就存在被修改

//path於domain必須一致，不然會被認爲是不一樣的cookie
document.cookie="test_secure=hijack;path=/;secure;"

Cookie的P3P性質

　　HTTP響應頭的P3P字段事故W3C公佈的一項隱私保護推薦標準。該字段用於標識

是否容許目標網站的Cookie被另外一個域經過加載目標網站而設置或發送，僅IE執行了該策略。