10

我想制作我的会话 cookie HttpOnly。基于这篇文章,我将其添加到我的application.ini

resources.session.cookie_httponly = true

不幸的是,当我查看Firecookie中的会话 cookie 时,它​​并没有HttpOnly像我指定的那样被标记。我错过了什么步骤?

替代文字

4

3 回答 3

11

尝试在引导程序中执行Zend_Session::setOptions(array('cookie_httponly' => true));(在第一次初始化会话之前的某个地方),它应该也可以与 app.ini 文件一起使用。

于 2010-12-16T16:01:49.990 回答
7

将此添加到您的 application.ini 文件中。

phpSettings.session.cookie_httponly = true
于 2012-08-13T14:09:17.247 回答
1

为此,这是 100% 安全的。

服务器不应允许选项 http 跟踪。http 选项跟踪报告会话 ID。如果攻击者可以使用 ajax 注入 java applet、flash 或 javascript,即使设置了 httponly 标志,攻击者也可以窃取 cookie...

于 2013-04-27T10:25:26.010 回答