Параметры сеанса PHP безопасны и httpOnly

Question

Параметры сеанса PHP безопасны и httpOnly

0

Мой sysadmin сделал сканирование и сказал мне, что я должен активировать secure параметр для сеансов PHP (сайт использует HTTPS).

Мы обнаружили, что люди также использовали httpOnly одновременно, но это кажется немного противоречивым. Что мне делать? Активировать оба или только secure?

FLX 06 март 2015, в 11:45

Источник

Теги:

php

security

session

2 ответа

1

httponly не имеет ничего (ну по большей части), чтобы делать то, используете ли вы https... да, вы должны включить оба. См. Https://www.owasp.org/index.php/HttpOnly для получения дополнительной информации о httponly.

Kevin Op den Kamp 06 март 2015, в 07:52

0

Спасибо за эту приятную ссылку. Я действительно должен проводить больше времени на owasp
FLX 06 март 2015, в 10:45
0

У owasp есть много надежной информации, часто подкрепленной примерами, она обязательно должна быть в вашем списке для чтения;)
Kevin Op den Kamp 06 март 2015, в 10:47

Ещё вопросы

Спасибо за эту приятную ссылку. Я действительно должен проводить больше времени на owasp
У owasp есть много надежной информации, часто подкрепленной примерами, она обязательно должна быть в вашем списке для чтения;)

kba · Accepted Answer · 2015-03-06T07-59-00.000Z

Определенно лучше всего установить оба флажка.

Secure означает, что клиентский веб-браузер отправит обратно в файл cookie сервера с идентификатором сеанса, только если используется протокол https.

HttpOnly означает, что клиентский браузер заблокирует доступ к cookie из JavaScript. Он защищает ваших пользователей от кражи сеанса (т.е. В случае, если у вас есть уязвимость XSS на вашем сайте).

Благодарю. Я думал, что httpOnly означает «нет https».