ログインシステムを備えたウェブサイトを構築しました。準備が整った後、Acunetix でスキャンしましたが、次のメッセージが表示されました。
HttpOnly フラグが設定されていないセッション Cookie セキュア フラグが設定されていないセッション Cookie (これは、SSL 接続がある場合のみだと思います)
だから私の質問は、すべてのセッションデータに HttpOnly フラグを設定するにはどうすればよいですか? ユーザーにログインするときにセッションを使用しているだけです。ユーザーID番号を使用してセッションを提供し、そのユーザーIDを使用してデータを取得しています。
すべてのセッションを HTTPOnly に設定して保護し、誰も触れないようにする簡単な方法はありますか?
php.ini で設定を変更するか、change への呼び出しini_set()と への値を使用して変更できます。session.cookie_securesession.cookie_httponlytrue
または、セッションを開始する前に使用session_set_cookie_params()して、探している効果を得ることができます。
http://us3.php.net/manual/en/function.session-set-cookie-params.php
この質問については、この優れたサイトをチェックしてください。最終的には、php.ini のセッション セクションで (または適切なランタイム関数を介して) 設定することになります。
session.cookie_httponly = True