我的系统管理员进行了扫描并告诉我应该为PHP会话激活secure参数(该网站使用的是HTTPS)。
我们发现人们同时也使用httpOnly,但这似乎有点矛盾。我该怎么办?激活两者,还是只激活secure?
答案 0 :(得分:2)
设置两个标志绝对是最佳做法。
安全表示仅当使用https协议时,客户端Web浏览器才会使用会话ID发回服务器cookie。
HttpOnly 表示客户端浏览器将阻止从JavaScript访问cookie。它可以保护您的用户免受会话窃取(例如,如果您的网站上存在XSS漏洞)。
答案 1 :(得分:1)
httponly没有(大多数情况下)与你是否使用https有关...是的,你应该启用两者。有关httponly的详细信息,请参阅https://www.owasp.org/index.php/HttpOnly。