由于 PCI 规定,我的应用程序中的大多数 cookie 都需要安全且仅限 http。我通过我的 Apache 配置文件中的这一行实现了这一点:
标头编辑 Set-Cookie ^(.*)$ $1;HttpOnly;Secure
然而,这破坏了应用程序的一部分,其中单个 cookie,我们称之为 foobar,必须由 javascript 读取。因此我只需要删除这个cookie的httponly。
我已经尝试过几种方法,包括 mod_rewrite,但我无法让 httponly 删除 cookie。我不想重置 cookie 等的值,只需去掉 httponly 部分。
例如,标题总是编辑 Set-Cookie ^(foobar=.*)$ $1 (不起作用)