刚收到安全审核的结果-除两件事外,其他一切都清晰可见

没有http标志的 session cookie。

没有设置安全标志的 session cookie。

该应用程序是用php编码的,修复建议为:

  • 仅使用http标志
  • 设置 session cookie
  • 使用安全标志
  • 设置 session cookie

    我看了一些示例,但并不完全了解如何在Linux服务器上实现。我无权访问.ini文件。是否可以在htaccess文件中进行设置?

    或者,如何在代码中以及在哪里实现?

    最佳答案

    由于您要求输入.htaccess,并且此设置为PHP_INI_ALL,只需将其放在您的.htaccess中:

    php_value session.cookie_httponly 1
    php_value session.cookie_secure 1
    

    请注意,此后将仅使用 https https 请求发送 session cookie。如果您在非安全的http页面中丢失了 session ,这可能会令人感到惊讶(但正如注释中指出的那样,实际上首先是配置的重点...)。

    关于php - session Cookie http和安全标志-您如何设置这些?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/22221807/

    10-11 12:34
    查看更多