【问题标题】:are there implicit cookies created while web navigation? / httpOnly flag网络导航时是否创建了隐式 cookie? /httpOnly 标志
【发布时间】:2013-03-05 05:46:21
【问题描述】:

在我的网站中,我没有使用任何类型的 cookie,一切都通过服务器端会话处理。 (根本没有setcookie 指令)

但是,使用 Acunetix 网站漏洞检查器,我仍然收到有关“未设置 httpOnly 标志的会话 cookie”的报告

我有什么遗漏吗?是否有任何隐式 cookie?

谢谢

【问题讨论】:

  • session_start() 执行隐式 setcookie() 以将会话 ID 作为 cookie 存储在客户端浏览器中... 除非您在 PHP 中启用了 trans_sid 会话,这是一个非常愚蠢的坏主意
  • 我明白了,这回答了我的问题。如何为这些 cookie 设置 httpOnly 标志?
  • 谢谢,路上我也记下了session.cookie-secure参数。

标签: php security session cookies httponly


【解决方案1】:

会话正在使用 cookie!除非您在 URL 中传输会话 ID(这也不好),否则会话会设置 cookie。一个会话由服务器端数据存储和一个会话cookie组成,其中包含一个随机ID将客户端与服务器端数据相关联

【讨论】:

  • 谢谢,客户端有敏感数据吗?如何对它们应用 httponly 标志?
  • 只有将敏感数据放在客户端才会有。会话 ID CAN 是敏感的,例如您的银行登录的会话 ID,v.s.一个通常无用的会话,对于您的平均焦虑缠身的 teenybopper 的 Facebook 登录。
  • 不,我绝对不会存储任何个人信息或敏感信息。反正我会保护它。谢谢你们,作为一个初学者,你每天都在学习这很酷:-)
猜你喜欢
  • 1970-01-01
  • 2011-05-18
  • 2016-10-27
  • 2011-12-29
  • 2013-11-18
  • 2020-04-21
  • 2012-10-13
  • 2013-04-02
  • 2013-07-25
相关资源
最近更新 更多