Je veux faire mon cookie de session malheureusement, quand je regarde le cookie de session dans FIRCOOKIE , il est pas marqué comme httponly . Basé sur Cet article , j'ai ajouté ceci à mon application.ini : httponly comme je ont spécifié. Quelle étape est manquante? 
3 Réponses :
Essayez à Bootstrap pour faire Zend_Session :: Setoptions (tableau ("Cookie_httparny '=> TRUE)); (quelque part avant que la session soit initialement initialisée, il devrait fonctionner avec le fichier App.ini. aussi.
Cela marche. J'aimerais pouvoir comprendre pourquoi il ne lit pas de Application.ini .
aura un coup d'oeil et vous permettra de savoir si je trouve quelque chose.
Utilisez zend_session :: setoptions (tableau ("cookie_httparny '=> true)); au lieu de zend_session :: setoptions (tableau (" cookie_httparny ")) ;
Ajoutez ceci à votre fichier Application.ini.
phpSettings.session.cookie_httponly = true
Pour que cela soit 100% sûr.
Le serveur ne doit pas autoriser l'option Trace HTTP. L'option HTTP TRACE rapporte l'ID de session. Si un attaquant peut injecter une applet Java, Flash ou JavaScript avec Ajax, l'attaquant peut également voler des biscuits, même avec le drapeau httponly ...
"Quand je regarde le cookie de session en Firececookie, il n'est pas marqué comme httponly" --- Comment exactement le cookie doit être marqué? Qu'avez-vous espété là-bas?
httponly est une étape pour protéger de XSS: codinghorror.com/blog/2008/08/...@Sonny: C'est une étape de protection contre le détournement des cookies, pas des XSS. XSS est juste un moyen d'envoyer les cookies et
httponly est l'option qui ne vous permet pas de lire des cookies de JS. Il protège donc le cookie d'être lu dans JS. Il n'y a pas de connexion entre XSS ethttponly .FTA: "Les cookies httponly sont une bonne idée et bien implémentées, formulent d'énormes classes d'attaques de XSS communes beaucoup plus difficiles à tirer."
@Sonny: omg ...
httponly protège de la cookie en cours de lecture. Sans cette option, votre site n'est pas plus vulnérable XSS.Pourquoi êtes-vous argumentatif plutôt que utile? Ce n'est pas la seule étape que je prends pour la sécurité, je veux juste utiliser tous les outils disponibles.
@Sonny: Je viens de vous corriger, car votre phrase "Je veux faire de mon cookie de session httponly pour réduire les vulnérabilités du XSS" est juste mal et je m'occupe des futurs lecteurs non expérimentés qui suivront vos mots.
Eh bien, sur le sujet maintenant: avez-vous regardé les en-têtes de réponse?
Lorsque je regarde la réponse et demandez des en-têtes de Firebug, je peux voir une ligne de cookie fixe qui spécifie httponly, mais c'est pour un cookie autre que mon cookie de session. Firecookie montre une colonne httponly et le cookie que je spécifie httponly est marqué comme tel, mais ma session n'est pas. Je ne sais pas où regarder d'autre.
Si cela aide, supprimer le cookie de session PHP et commencer la session à nouveau est le premier test de test. Le mien a travaillé avec seulement l'ini