拿DVWA的XSS为例子
httponly是微软对cookie做的扩展。这个主要是解决用户的cookie可能被盗用的问题。
接DVWA的分析，发现其实Impossible的cookie都是设置的httponly=1，samesite=1.
这两个参数的意思参考Set-Cookie

HttpOnly:阻止 JavaScript 通过 Document.cookie 属性访问 cookie。
SameSite:控制 cookie 是否随跨站请求一起发送，这样可以在一定程度上防范跨站请求伪造攻击（CSRF）。

设置

1. PHP5.2以上版本已支持HttpOnly参数的设置，同样也支持全局的HttpOnly的设置，在php.ini中

 session.cookie_httponly = 

设置其值为1或者TRUE，来开启全局的Cookie的HttpOnly属性。
2. setcookie函数和setrawcookie函数添加了第7个参数来做为HttpOnly的选项，开启方法为：

 setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); setrawcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE);

DVWA XSS(Stored)

开始我在服务器的php.ini中设置了session.cookie_httponly = true之后发现Cookie的httponly还是false。
后来发现，源代码中作者设置了http-only。
Cookie一共包含security和PHPSESSID，这里讲下PHPSESSID（session的cookie）。
在dvwaPage.inc.php中，dvwa_start_session()函数先通过dvwaSecurityLevelGet()函数获得security_level。
之后如果security_level为impossible，则httponly设置为true。否则为false。
最后通过session_set_cookie_params设置session 的cookie。

function dvwa_start_session() {// This will setup the session cookie based on// the security level.$security_level = dvwaSecurityLevelGet();if ($security_level == 'impossible') {$httponly = true;$samesite = "Strict";}else {$httponly = false;$samesite = "";}$maxlifetime = 86400;$secure = false;$domain = parse_url($_SERVER['HTTP_HOST'], PHP_URL_HOST);/** Need to do this as you can't update the settings of a session* while it is open. So check if one is open, close it if needed* then update the values and start it again.*/if (session_id()) {session_write_close();}session_set_cookie_params(['lifetime' => $maxlifetime,'path' => '/','domain' => $domain,'secure' => $secure,'httponly' => $httponly,'samesite' => $samesite]);session_start();// This is the call that will force a new Set-Cookie header with the right flagssession_regenerate_id();
}

function dvwaSecurityLevelGet() {global $_DVWA;// If there is a security cookie, that takes priority.if (isset($_COOKIE['security'])) {return $_COOKIE[ 'security' ];}// If not, check to see if authentication is disabled, if it is, use// the default security level.if (in_array("disable_authentication", $_DVWA) && $_DVWA['disable_authentication']) {return $_DVWA[ 'default_security_level' ];}// Worse case, set the level to impossible.return 'impossible';
}

现在这个源码，可以在XSS(Stored) Low Level界面，产生漏洞，拿到cookie。
此时浏览器Cookie中PHPSESSID的http-only为false。

之后我们将红框位置改为true，也就是所有level下session 的cookie httponly都设置为true。
修改之后再进行漏洞测试，发现只能拿到security的cookie，同时PHPSESSID的httponly为true。