一尘不染

会话Cookie http和安全标志-如何设置这些?

linux

刚收到安全审核的结果-除两件事外,其他一切都清晰可见

没有http标志的会话cookie。

没有设置安全标志的会话cookie。

该应用程序是用php编码的,修复建议为:

  1. 使用仅http标志设置会话cookie
  2. 使用安全标志设置会话cookie

我看过一些示例,但并不完全了解如何在Linux服务器上实现。我无权访问 .ini 文件。是否可以在htaccess文件中进行设置?

或者,如何在代码中以及在哪里实现?


阅读 1400

收藏
2020-06-07

共1个答案

一尘不染

由于您要求输入.htaccess,并且此设置为PHP_INI_ALL,因此只需将其放入您的.htaccess中即可:

php_value session.cookie_httponly 1
php_value session.cookie_secure 1

请注意,会话Cookie将仅在此之后与 https
请求一起发送。如果您在非安全的http页面中丢失了会话,这可能会令人感到惊讶(但正如注释中指出的那样,实际上首先是配置的重点…)。

2020-06-07