我想制作我的会话 cookie HttpOnly。基于这篇文章,我将其添加到我的application.ini:
resources.session.cookie_httponly = true
不幸的是,当我查看Firecookie中的会话 cookie 时,它并没有HttpOnly像我指定的那样被标记。我错过了什么步骤?
问问题
5159 次
3 回答
11
尝试在引导程序中执行Zend_Session::setOptions(array('cookie_httponly' => true));(在第一次初始化会话之前的某个地方),它应该也可以与 app.ini 文件一起使用。
于 2010-12-16T16:01:49.990 回答
7
将此添加到您的 application.ini 文件中。
phpSettings.session.cookie_httponly = true
于 2012-08-13T14:09:17.247 回答
1
为此,这是 100% 安全的。
服务器不应允许选项 http 跟踪。http 选项跟踪报告会话 ID。如果攻击者可以使用 ajax 注入 java applet、flash 或 javascript,即使设置了 httponly 标志,攻击者也可以窃取 cookie...
于 2013-04-27T10:25:26.010 回答