Impostazione del flag HTTPOnly per il cookie PHPSESSID [chiuso]

Question

Impostazione del flag HTTPOnly per il cookie PHPSESSID [chiuso]

#1 da (5 voti)

2

Ricevo questo messaggio dal mio controllo di sicurezza:

Cookie name: "PHPSESSID"

Cookie domain: "xxx.xxx.xx.xxx"

If possible, you should set the HTTPOnly flag for this cookie.

Come posso impostare il flag HTTPOnly per questo cookie?

php cookies

posta srinivas reddy 03.07.2015 - 08:24

fonte

1 risposta

Leggi altre domande sui tag php cookies

Un provider VPN conosce il mio indirizzo MAC? Come rendere irrecuperabili i dati sul disco rigido su linux [duplicato]

score 5 · Answer 1

Hai almeno 3 modi per farlo:

Nel file di configurazione PHP (php.ini), cerca l'impostazione session.cookie_httponly e impostala su True.
Se non hai accesso alla configurazione di PHP, puoi provare a sovrascrivere questa impostazione in fase di runtime:

ini_set("session.cookie_httponly", 1);

Se non funziona, devi sovrascrivere manualmente quel cookie:

session_start();
$params = session_get_cookie_params();
setcookie("PHPSESSID", session_id(), 0, $params["path"], $params["domain"],
    false,  // this is the secure flag you need to set. Default is false.
    true  // this is the httpOnly flag you need to set
);

setcookie() definizione :

bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [, string $domain = "" [, bool $secure = false [, bool $httponly = false ]]]]]] )