В PHP, начиная с версии 5.2, функции setcookie() можно передать дополнительный параметр httponly. Насколько я понял, это задает кукису какой-то дополнительный флаг, после чего кука становится доступна только через $_COOKIE, но недоступна в java- и прочих скриптах. Имхо, полезная фишка для дополнительной защиты приложения http://ru2.php.net/setcookie
Т.е. когда-нибуть в будущем (очень далеком и очень светлом) может быть это будет как то работать. Т.е. это даже не подпорка
Делаем вывод, на всякий случай не храните в куках ничего ценного, а то что храните, используйте с соответствующими предосторожностями... В любом случае, куки может подделать/сфальсифицировать владелец/удалённый клиент.
dark-demon Горбунов Олег Верно, но это основной и самый простой способ. Сколько систем уже было взломано из-за такой мелочи как недостаточная фильтрация данных перед отображением думаю, авторы этих систем, стоя перед выбором "снова и снова проверять выводимые данные, блокируя все более изощренные способы XSS" и "добавить один дополнительный аргумент при вызове функции setcookie", выбрали бы второй вариант, он проще и надежнее. Что же касается момента, что не все браузеры это поддерживают - помните, что стандарт был разработан задолго до его поддержки в PHP. Думаю, все нынешние браузеры поддерживают HTTP-only cookies не хуже поддержки Жабаскрипта.
Diver Я имел в виду минимальную поддержку а с кукисами вообще не может быть никаких троечек - либо поддерживает, либо нет.
А может на кукисы в браузерах тоже есть некоторые ограничения. Например на их объем, на символы которые в них могут присутствовать, на их кодировку...