我想制作我的会话 cookie HttpOnly
。基于这篇文章,我将其添加到我的application.ini
:
resources.session.cookie_httponly = true
不幸的是,当我查看Firecookie中的会话 cookie 时,它并没有HttpOnly
像我指定的那样被标记。我错过了什么步骤?
我想制作我的会话 cookie HttpOnly
。基于这篇文章,我将其添加到我的application.ini
:
resources.session.cookie_httponly = true
不幸的是,当我查看Firecookie中的会话 cookie 时,它并没有HttpOnly
像我指定的那样被标记。我错过了什么步骤?
尝试在引导程序中执行Zend_Session::setOptions(array('cookie_httponly' => true));
(在第一次初始化会话之前的某个地方),它应该也可以与 app.ini 文件一起使用。
将此添加到您的 application.ini 文件中。
phpSettings.session.cookie_httponly = true
为此,这是 100% 安全的。
服务器不应允许选项 http 跟踪。http 选项跟踪报告会话 ID。如果攻击者可以使用 ajax 注入 java applet、flash 或 javascript,即使设置了 httponly 标志,攻击者也可以窃取 cookie...