セッションCookieを作成したいHttpOnly。この記事に基づいて、私はこれを私のapplication.ini:に追加しました
resources.session.cookie_httponly = true
残念ながら、FirecookieでセッションCookieを見ると、指定したとおりにマークされていませんHttpOnly。どのステップが欠けていますか?
5159 次
3 に答える
11
ブートストラップでZend_Session::setOptions(array('cookie_httponly' => true));(セッションが最初に初期化される前のどこかで)実行してみてください。app.iniファイルでも機能するはずです。
于 2010-12-16T16:01:49.990 に答える
7
これをapplication.iniファイルに追加します。
phpSettings.session.cookie_httponly = true
于 2012-08-13T14:09:17.247 に答える
1
これが100%安全であるために。
サーバーはオプションhttpトレースを許可するべきではありません。httpオプショントレースはセッションIDを報告します。攻撃者がJavaアプレット、フラッシュ、またはjavascriptをajaxで挿入できる場合、攻撃者はhttponlyフラグが設定されていてもCookieを盗むことができます...
于 2013-04-27T10:25:26.010 に答える