Cookie に HttpOnly 属性を付加
PHP 5.2.0 以降では、Cookie に HttpOnly 属性を付加することができるようになりました。
ブラウザが対応していれば、ブラウザ側では、Cookie に対して通常のアクセスのみ(HTTP を通してのみ)が可能になります。
Javascript などのスクリプトから Cookie にアクセスすることができないようになりますので、クロスサイトスクリプティングなどによって簡単に Cookie を盗まれるという危険性が低くなります。
php.ini では以下のように設定することで、Cookie に HttpOnly 属性を付加するようにできます。
- session.cookie_httponly = 1
また、以下の関数を使用することでも Cookie に HttpOnly 属性を付加することが可能です。