什么是PHP HttpOnly Cookie？

HttpOnly Cookie 是一个HTTP响应头，告诉浏览器仅通过HTTP请求访问cookie，并且不允许通过JavaScript访问它。这项安全设置可以防止跨站点脚本攻击（XSS）和cookie劫持。

想象一个场景，你正在使用在线银行服务进行转账。如果一个XSS攻击者向你发送了一个带有恶意JavaScript的链接，他可能能够通过该链接来访问您的cookie，从而盗取您的银行帐户凭据。但是，如果cookie是HttpOnly的，它就可以通过浏览器自动发送，但脚本无法访问cookie。

下面是PHP中创建和设置HttpOnly cookie的例子：

<?phpsetcookie('cookie_name','cookie_value',time()+3600,'/','example.com',true,true);?>

在上面的代码中，参数是用于设置HttpOnly的。如果你想要创建HttpOnly cookie，必须设置第二个参数为。

如果您的应用程序依赖于cookie来存储数据，HttpOnly cookie是一个很好的安全措施，但这并不意味着您可以放心大胆的使用cookie，因为cookie本身并不是完美无缺的安全措施。

同时，HttpOnly cookie不能阻止一些攻击，如CSRF（跨站点请求伪造）。虽然HttpOnly cookie可以限制cookie劫持，但如果一个攻击者成功进行了CSRF攻击，他仍然可以发送HTTP请求，以某种方式操纵您的session并窃取您的数据。因此，在开发Web应用程序时，需要采取其他措施来防止其他安全攻击。