Запретить доступ к Cookie из JavaScript (httponly)

Запретить доступ к Cookie, которые были созданы в PHP, из JavaScript, можно через параметр httponly.

# в php.ini (рекомендуется)
session.cookie_httponly=1

# в .htaccess
<IfModule php5_module>
php_flag session.cookie_httponly on
</IfModule>

# при создании cookies
setcookie("name", "Сохранённая информация", time() + 3600, '/page.html', '', false, true);

Параметр «httponly» запрещает доступ к Cookie из клиентских приложений, например в JavaScript. Это сделано в целях безопасности (для предотвращения XSS-атак).

Параметр «httponly» появился в версии PHP 5.2.0.