Мой sysadmin сделал сканирование и сказал мне, что я должен активировать secure
параметр для сеансов PHP (сайт использует HTTPS).
Мы обнаружили, что люди также использовали httpOnly
одновременно, но это кажется немного противоречивым. Что мне делать? Активировать оба или только secure
?
Определенно лучше всего установить оба флажка.
Secure означает, что клиентский веб-браузер отправит обратно в файл cookie сервера с идентификатором сеанса, только если используется протокол https.
HttpOnly означает, что клиентский браузер заблокирует доступ к cookie из JavaScript. Он защищает ваших пользователей от кражи сеанса (т.е. В случае, если у вас есть уязвимость XSS на вашем сайте).
httponly не имеет ничего (ну по большей части), чтобы делать то, используете ли вы https... да, вы должны включить оба. См. Https://www.owasp.org/index.php/HttpOnly для получения дополнительной информации о httponly.