代码之家 › 专栏 › 技术社区 › Lyon

CookieHttpOnly在我进行ajax php查询时才可访问?

httponly setcookie cookies php

1

Lyon · 技术社区 · 15 年前

我知道以前有人问过这个问题,但我需要一些澄清和确认。我被告知在创建cookies时,使用httponly来防止XSS。

所以我要澄清的是,如果我只使用httponly,那么通过ajax请求访问的php脚本是否仍然能够确定我的活动php会话(默认值:phpssessid)并检索我的$\u会话变量?

问题是我没有使用httponly选项进行设计,我担心添加该选项是否会以任何方式影响脚本的设计。

谢谢!

1 回复 | 直到 15 年前

1

Michael Lunsford 15 年前

我不确定我是否理解这个问题,但这里有一个建议:在从ajax调用的脚本上设置会话的方式与在主页上设置会话的方式相同。例如,我在主页中“包含”了一个文件,以及使用ajax从该页面调用的任何内容。

因此,index.php的顶部

<?php include "db.php"; ?><!DOCTYPE...

在我的ajax\u helper.php文件顶部也是这样

<?php include "db.php"; ?>