Question

我试图举起＆＃39; httpOnly＆＃39;为＆＃39; cookieParams＆＃39;属于＆＃39; CDbHttpSession＆＃39;用于会话配置。如Yii Documentation中所述这个标志在某种程度上不起作用，javascript中的document.cookie始终能够显示cookie值。

这是我在主配置中的数组：

'session'=>array(
            'class' => 'CDbHttpSession',
            'connectionID'=>'db', 
            'sessionTableName' => 'yiisession',
            'sessionName' => 'session_name',
            'timeout' => 24 * 3600,
            'autoStart'=>false,
            'cookieParams' => array(
                           'httpOnly'=>true,
                     ),
        ),

我在这里做错了什么吗？

谢谢

Answer 1

为了应用该标志，您需要将其指定为以下内容：

'session'=>array(
    'class' => 'CDbHttpSession',

    // ...

    'cookieParams' => array(
        'httponly' => true, // note that "O" is lowercase
    ),
),

Answer 2

同时保护csrf cookie

'request'=>array(
    // ...

    'csrfCookie' => array(
        'httpOnly' => true,
    ),
),

httpOnly标志在Yii Framework中的CDbHttpSession中不起作用

2 个答案: