【发布时间】:2013-03-05 05:46:21
【问题描述】:
在我的网站中,我没有使用任何类型的 cookie,一切都通过服务器端会话处理。 (根本没有setcookie 指令)
但是,使用 Acunetix 网站漏洞检查器,我仍然收到有关“未设置 httpOnly 标志的会话 cookie”的报告
我有什么遗漏吗?是否有任何隐式 cookie?
谢谢
【问题讨论】:
-
session_start() 执行隐式 setcookie() 以将会话 ID 作为 cookie 存储在客户端浏览器中... 除非您在 PHP 中启用了 trans_sid 会话,这是一个非常愚蠢的坏主意
-
我明白了,这回答了我的问题。如何为这些 cookie 设置 httpOnly 标志?
-
谢谢,路上我也记下了
session.cookie-secure参数。
标签: php security session cookies httponly