Cookie HttpOnly

Теперь куки могут быть недоступны для клиентских скриптов (JavaScript) во избежание кражи важных данных. Как известно, файлы cookies, сохраняются на клиентской машине пользователя и могут быть доступны не только из PHP-скриптов, но и из JavaScript. Таким образом, JS-скрипты могут быть использованы для кражи информации из Cookie.
Нововведения предназначены для предотвращения такой возможности и могут быть использованы в функциях setcookie() и setrawcookie() в дистрибутивах PHP 5.2. В ранних версиях можно использовать опцию следующим образом:

header("Set-Cookie: hidden=value; httpOnly");

Изменения коснулись и механизма сессий, так как он тесно связан с cookie. Привести механизм в действие можно будет так:

ini_set("session.cookie_httponly", 1);

или

session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

Такой подход пока еще не будет работать во всех браузерах и актуален только для IE.