最近在我们的一个应用程序上运行了一次扫描,它返回了以下 1 个安全威胁:
1.Cookies NotMarked As Secure::Cookie without Secure flag set
2.没有设置HttpOnly标志的Cookie::Cookiewithout HttpOnly标志设置
$this->cache_ptr = new CACHE($_COOKIE["sess"], 0, 0);
CACHE 是一个用户构建的库,它使用 Sessions 等。
我不确定将 cookie 标记为安全并使用 HttpOnly 标志设置 cookie 的正确语法。此外,这是一个在 php 4 中运行的遗留应用程序。有人可以帮我解决这个问题或指向我的资源吗?
编辑:我实施了斯文的建议。有没有办法可以测试安全功能?
另外,由于我使用的是 php4(必须更新),所以我不能在 setcookie 函数中使用 httponly。那么这是否意味着,我需要在 setcookie 函数之前添加以下行?
header("Set-Cookie: hidden=value; httpOnly");
它会干扰我的 setcookie 功能吗?