0

最近在我们的一个应用程序上运行了一次扫描,它返回了以下 1 个安全威胁:

1.Cookies NotMarked As Secure::Cookie without Secure flag set

2.没有设置HttpOnly标志的Cookie::Cookiewithout HttpOnly标志设置

$this->cache_ptr = new CACHE($_COOKIE["sess"], 0, 0);

CACHE 是一个用户构建的库,它使用 Sessions 等。

我不确定将 cookie 标记为安全并使用 HttpOnly 标志设置 cookie 的正确语法。此外,这是一个在 php 4 中运行的遗留应用程序。有人可以帮我解决这个问题或指向我的资源吗?

编辑:我实施了斯文的建议。有没有办法可以测试安全功能?

另外,由于我使用的是 php4(必须更新),所以我不能在 setcookie 函数中使用 httponly。那么这是否意味着,我需要在 setcookie 函数之前添加以下行?

header("Set-Cookie: hidden=value; httpOnly");

它会干扰我的 setcookie 功能吗?

4

2 回答 2

1

使用setcookie(). 在这里阅读它。将第六个参数设置为 true 以使 cookie 安全。

于 2012-10-23T22:30:20.793 回答
1

您显示的代码没有设置 cookie。它可能会触发设置 cookie,但本质上您必须查看CACHE该类并查看那里发生了什么。

您正在寻找 的函数调用setcookie(),如果未找到,则为header('Set-Cookie...').

您必须更改 setcookie() 以包含可选参数的所有默认值,直到最后您将最后两个设置为 true 以实现安全和 httponly。

看看手册:http ://de1.php.net/setcookie

于 2012-10-23T22:33:27.517 回答