0

最近、当社のアプリケーションの 1 つでスキャンが実行され、次の 1 つのセキュリティ脅威が返されました。

1.セキュアとしてマークされていない Cookie::セキュア フラグが設定されていない Cookie

2.HttpOnly フラグが設定されていない Cookie::HttpOnly フラグが設定されていない Cookie

$this->cache_ptr = new CACHE($_COOKIE["sess"], 0, 0);

CACHE は、Sessions などを使用するユーザー ビルド ライブラリです。

Cookie を安全にマークし、Cookie に HttpOnly フラグを設定するための正しい構文がわかりません。また、これは php 4 で実行されているレガシー アプリケーションです。誰かがこれについて私を助けてくれますか、それともリソースを教えてくれますか?

編集: Sven の推奨事項を実装しました。安全な機能をテストする方法はありますか?

また、php4 を使用しているため (いずれ更新する必要があります)、setcookie 関数で httponly を使用することはできません。つまり、setcookie 関数の前に次の行を追加する必要がありますか?

header("Set-Cookie: hidden=value; httpOnly");

私の setcookie 機能に干渉しますか?

4

2 に答える 2

1

を使用しますsetcookie()。ここでそれについて読んでください。6番目のパラメータをtrueに設定して、Cookieを安全にします。

于 2012-10-23T22:30:20.793 に答える
1

表示しているコードはCookieを設定していません。Cookieの設定をトリガーする可能性がありますが、基本的には、CACHEクラスを調べて、そこで何が起こっているかを確認する必要があります。

の関数呼び出しを探しています。setcookie()見つからない場合は、の関数呼び出しを探していますheader('Set-Cookie...')

最後にセキュアとhttponlyの最後の2つをtrueに設定するまで、setcookie()を変更してオプションのパラメーターのすべてのデフォルト値を含める必要があります。

マニュアルをご覧ください:http://de1.php.net/setcookie

于 2012-10-23T22:33:27.517 に答える