【发布时间】:2013-08-15 14:19:14
【问题描述】:
我一直在尽可能多地阅读 php.ini 文件,但我没有发现不在 php.ini 中设置 session.cookie_domain 是否有害/危险。
我们在生产环境中,这没有设置。
不设置是否存在安全问题。 Cookie 似乎运行良好,没有真正的问题。
php.ini 文件如下所示:
session.cookie_domain =
【问题讨论】:
标签: php session-cookies ini
【发布时间】:2013-08-15 14:19:14
【问题描述】:
此配置指令允许您限制子域,您的会话 cookie 将从这些子域中有效。由于它是空的,因此您接受来自所有域的会话 cookie - 因此,任何子域都运行良好是正常行为。
【讨论】:
-
'因为它是空的,所以你接受来自所有域的会话 cookie'。那么这很危险吗?这有什么负面的吗?如果不设置这个,黑客可以做任何事情吗?有没有这个信息的地方。我浏览了谷歌,但没有真正找到任何东西。谢谢
-
由您决定。可能您希望跨域应用程序和会话的单独部分仅用于一个部分(即一个子域)。
-
这似乎与文档相冲突,文档中说将其留空会使它占用生成 cookie 的主机的域。 php.net/manual/en/…