httponly禁止js获取cookie防止cookie劫持。PHP>5.2版本中支持HttpOnly设置,可以直接在php.ini文件中设置。httponly只是阻止了js获取httponly值为true所对应的cookie键值队,并不能拦截XSS Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly