HTTPS - Cookie "HttpOnly" и "безопасный"

Question

Мой веб-сайт работает по протоколу HTTPS, и я использую только 1 файл cookie (PHPSESSID).Мой сервер Apache 2.2.22.Я заметил, что мой cookie не имеет заголовков "HttpOnly" и "Secure", затем я попытался установить его через мой .htaccess:

Header set Set-Cookie HttpOnly;Secure

Кстати, .htaccess работает отлично (urlпереписывание, дефляция, истечение срока действия заголовков, Etags и т.д ...).Но теперь ... мой веб-сайт генерирует 4 куки-файла, и PHPSESSID, похоже, не является безопасным:

Я что-то пропустил?

Answer 1

.htaccess - неправильный способ сделать это.

PHP имеет параметры конфигурации сеанса для этого, вы можете установить их в вашей конфигурации PHP обычным способом (php.ini, ini_set,…) или с помощью вызова специальной функции.

session.cookie_httponly и session.cookie_secure являются соответствующими вариантами здесь.

Подробнее см. http://php.net/manual/en/session.configuration.php и http://php.net/manual/en/function.session-set-cookie-params.php.