Question

Я хочу сделать сессионный файл cookie HttpOnly. Основываясь на этой статье , я добавил это к своему application.ini:

resources.session.cookie_httponly = true

К сожалению, когда я смотрю на файл cookie сеанса в Firecookie , он не помечен как HttpOnly, как я указал. Какой шаг я пропускаю?

alt text

Poelinca Dorin · Answer 1 · 16 декабря 2010

Попробуйте при начальной загрузке сделать Zend_Session::setOptions(array('cookie_httponly' => true)); (где-то перед первой инициализацией сеанса), хотя это должно работать и с файлом app.ini.

arturgrigor · Answer 2 · 13 августа 2012

Добавьте это в файл application.ini.

phpSettings.session.cookie_httponly = true

Raymond Nijland · Answer 3 · 27 апреля 2013

Для того, чтобы это было на 100% безопасно.

Сервер не должен разрешать параметр http trace. Функция трассировки http сообщает идентификатор сеанса. Если злоумышленник может внедрить java-апплет, flash или javascript с помощью ajax, злоумышленник также может украсть куки, даже если установлен флаг httponly ...

Zend Framework, Sessions и HttpOnly

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Zend Framework, Sessions и HttpOnly

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы