大家知道XSS攻击中很多都是为了获取用户的cookie信息，采用最多的方式就是通过js设置src的方式把cookie传输到别的服务器。

        那我们该怎么防止js获取cookie呢，这里有一个简单的办法，以PHP为例，我们在setcookie的时候很少写后面的参数，基本上写到日期就行了，其他走默认就好，看一下他的参数设置

bool setcookie ( string $name [, string $value [, int $expire = 0 [, string $path [, string$domain [, bool $secure = false [, bool $httponly = false ]]]]]] )

后面的$httponly是干嘛用的呢？他们其实是设置只在http下发送cookie，比如设置$httponly为true，再用js获取cookie的时候是获取不到的，大家可以尝试一下，虽然不是所有浏览器都支持，并且还有其他办法获取cookie，但是毕竟可以减少一部分安全漏洞。

欢迎大家讨论！

本文出自 “村长爱技术” 博客，请务必保留此出处http://weijingwu.blog.51cto.com/8376555/1583948

设置cookie的时候方式XSS攻击