PHP internals で HTTP-Only Patch という投稿がありました。 この Patch を適用するかどうかで議論され、PHP 5.2 系のブランチに適用されたようです(デフォルトでは無効のようです)。 http://news.php.net/php.internals/25233 http://news.php.net/php.cvs/39892 http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html これに関連して、気になった記事がありましたので、メモしておきます。 On HttpOnly, Firefox-specific XSS and this years major Livejournal XSS attack http://www.rooftopsolutions.nl