刚收到安全审核的结果-除两件事外,其他一切都清晰可见
没有http标志的 session cookie。
没有设置安全标志的 session cookie。
该应用程序是用php编码的,修复建议为:
我看了一些示例,但并不完全了解如何在Linux服务器上实现。我无权访问.ini文件。是否可以在htaccess文件中进行设置?
或者,如何在代码中以及在哪里实现?
最佳答案
由于您要求输入.htaccess,并且此设置为PHP_INI_ALL,只需将其放在您的.htaccess中:
php_value session.cookie_httponly 1
php_value session.cookie_secure 1
请注意,此后将仅使用 https https 请求发送 session cookie。如果您在非安全的http页面中丢失了 session ,这可能会令人感到惊讶(但正如注释中指出的那样,实际上首先是配置的重点...)。
关于php - session Cookie http和安全标志-您如何设置这些?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/22221807/