我有一个 Cakephp 2+ 站点,它需要某些操作来要求 SSL 连接(即登录、密码重置等),但我不要求整个站点是安全的。在实现这一点时,我发现在 SSL 和非 SSL 页面之间移动时没有保存会话。我在堆栈https://stackoverflow.com/a/12068099/1353839上发现了这个问题,它为我解决了这个问题,但我想知道代价是什么。
上述问题的答案需要在 lib/Cake/Model/Datasource/ 中注释掉一行,如下所示:
if (!isset($sessionConfig['ini']['session.cookie_secure']) && env('HTTPS')){
// $sessionConfig['ini']['session.cookie_secure'] = 1; // <-- Commented Out
}
这样做有什么安全后果吗?另外,有没有办法在不影响蛋糕核心文件的情况下做到这一点,因为这通常是不受欢迎的?
提前致谢。