[請益] cookie的secure與HttpOnly設定問題

看板PHP作者Peruheru (還在想)時間8年前 (2015/12/21 15:27)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

大家好維護的網站中有個網站是架在IIS7.5上的php5.3網站網站中的cookie是session在使用的而資安要求要將cookie設為secure與HttpOnly 想說可以的話盡量不要更改程式所以我改了php.ini中關於這兩者的設定 session.cookie_secure = 1 session.cookie_httponly = 1 改完網站重新啟動後，開啟網站的頁面從開發者工具查看header 有看到結果如下： Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015 06:59:34 GMT; path=/; secure; HttpOnly 可是在按F5重新整理頁面後，header會像這樣： Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015 07:00:17 GMT; path=/ 也就是少掉了secure與HttpOnly標籤從PHPSESSIONID可以看出這是同一個Session的cookie 請問這是正常現象嗎?cookie的這兩項設定只有在初次給予時要設定嗎? 還是說這是後來漏掉了我必須補上這兩項設定呢? 謝謝各位 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.134.18.8 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1450682835.A.E15.html

‣ 返回看板[ PHP ] 程設

‣ 更多 Peruheru 的文章

文章代碼(AID): #1MTwdJuL (PHP)