PHP 5.2.0 以降では、Cookie に HttpOnly 属性を付加することができるようになりました。
ブラウザが対応していれば、ブラウザ側では、Cookie に対して通常のアクセスのみ(HTTP を通してのみ)が可能になります。
Javascript などのスクリプトから Cookie にアクセスすることができないようになりますので、クロスサイトスクリプティングなどによって簡単に Cookie を盗まれるという危険性が低くなります。

php.ini では以下のように設定することで、Cookie に HttpOnly 属性を付加するようにできます。

• session.cookie_httponly = 1

また、以下の関数を使用することでも Cookie に HttpOnly 属性を付加することが可能です。

• session_set_cookie_params()
  • http://php.net/session_set_cookie_params
• session_get_cookie_params()
  • http://php.net/session_get_cookie_params
• setcookie()
  • http://php.net/setcookie
• setrawcookie()
  • http://php.net/setrawcookie