0

CakePHP の Cookie とセッション設定についてはよく知っていますが、その理由がわかりません (Burp Proxy Suite を使用して分析すると、2 つの別個の Set-Cookie 応答が見つかります。

Set-Cookie: DropZone=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
Set-Cookie: DropZone=spackr9fhhgod0lqk9glh3ch44; expires=Tue, 28-Jan-2014 23:01:37 GMT;path=/; secure; HttpOnly

時間をかけて HTTPOnly と Secure フラグを設定しました。私が理解していないのは、ここの最初の行です:

Set-Cookie: DropZone=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/

この Set-Cookie ヘッダーはどこから来ているのでしょうか? さらに重要なことに、これは情報セキュリティの脅威以上のものになるのでしょうか?

セッション設定を設定している app/Config/core.php ファイルに明確に記載されています。

Configure::write('Session', array(
    'defaults' => 'php',
    'cookie' => 'DropZone',
    'timeout' => 15,
    'ini' => array(
        'session.cookie_secure' => true,
        'session.cookie_httponly' => true)
));
4

1 に答える 1

1

問題を再現しようとしましたが、 2 つのCookieが表示されますDropZone。実際には、設定したデフォルトの Cookie 名と、プラグインで使用される他の Cookieです。Users[rememberMe]

http://book.cakephp.org/2.0/en/development/sessions.html#built-in-session-handlers-configuration

私のは正しく設定されています。また、Cookie 文字列の意味を説明させてください。

Set-Cookie: DropZone=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/

これは、DropZone という名前の Cookie が削除されたことを示しています。次の行は、指定された設定でそれを作成します。

Set-Cookie: DropZone=spackr9fhhgod0lqk9glh3ch44; expires=Tue, 28-Jan-2014 23:01:37 GMT;path=/; secure; HttpOnly

ここでの動作は正しいと思います。Cookie を削除して更新します。

コンポーネント設定の名前を DropZone に変更していない限り、この Cookie は間違いなくユーザー プラグインからのものではありません。したがって、2 つの Cookie が表示されるはずです。

関連する Github の問題は次のとおりです: https://github.com/CakeDC/users/issues/154

于 2014-02-20T01:38:08.440 に答える