Как известно, файлы cookies, сохраняются на клиентской машине пользователя и могут быть доступны не только из PHP-скриптов, но и из JavaScript. Таким образом, JS-скрипты могут быть использованы для кражи информации из Cookie.
Нововведения предназначены для предотвращения такой возможности и могут быть использованы в функциях setcookie() и setrawcookie() в дистрибутивах PHP 5.2. В ранних версиях можно использовать опцию следующим образом:
header(”Set-Cookie: hidden=value; httpOnly”);
Изменения коснулись и механизма сессий, так как он тесно связан с cookie. Привести механизм в действие можно будет так:
ini_set(”session.cookie_httponly”, 1);
// или
session_set_cookie_params(0, NULL, NULL, NULL, TRUE);
Правда, как отмечает Илья, такой подход пока еще не будет работать во всех браузерах и актуален только для IE, однако он выразил надежду на поддержку данной политики производителями и других браузеров.