【发布时间】:2020-07-05 03:00:48
【问题描述】:
我试图通过使用 .htaccess 来隐藏我的 PHPSESSID 我知道这与 HTTPONLY 有关。我目前在我的 .htaccess 文件中有php_flag session.cookie_httponly 1,但它无法正常工作,我仍然可以简单地编写<script>alert(document.cookie)</script> 之类的内容并检索ID。 任何人可以帮忙吗?
【问题讨论】:
-
我不确定您为什么要隐藏会话 ID。你在担心什么?
-
有人可以使用 XSS 来窃取会话 ID,然后他们就可以使用它以我的身份登录
-
您的设置是否允许您在 .htaccess 中进行此类设置? // 您也可以在开始会话之前在脚本中调用
session_set_cookie_params。