Zend Framework, Sessions и HttpOnly - PullRequest
       25

Zend Framework, Sessions и HttpOnly

9 голосов
/ 16 декабря 2010

Я хочу сделать сессионный файл cookie HttpOnly. Основываясь на этой статье , я добавил это к своему application.ini:

resources.session.cookie_httponly = true

К сожалению, когда я смотрю на файл cookie сеанса в Firecookie , он не помечен как HttpOnly, как я указал. Какой шаг я пропускаю?

alt text

Ответы [ 3 ]

11 голосов
/ 16 декабря 2010

Попробуйте при начальной загрузке сделать Zend_Session::setOptions(array('cookie_httponly' => true)); (где-то перед первой инициализацией сеанса), хотя это должно работать и с файлом app.ini.

6 голосов
/ 13 августа 2012

Добавьте это в файл application.ini.

phpSettings.session.cookie_httponly = true
1 голос
/ 27 апреля 2013

Для того, чтобы это было на 100% безопасно.

Сервер не должен разрешать параметр http trace. Функция трассировки http сообщает идентификатор сеанса. Если злоумышленник может внедрить java-апплет, flash или javascript с помощью ajax, злоумышленник также может украсть куки, даже если установлен флаг httponly ...

...