我有兴趣详细了解函数session_set_cookie_params()的 安全 参数。
你能告诉我如何正确使用它吗?如果在一个不安全的页面上执行此函数(但在具有SSL的服务器上),它是否会以某种方式安全地发送它,或者我是否必须在页面上强制使用SSL,而这个函数是我自己执行的?
答案 0 :(得分:1)
这意味着客户端只会通过安全(HTTPS)连接发送该cookie。这意味着您必须将用户转发到安全URL,以便将cookie发送到服务器。
您可以通过不安全的连接设置安全cookie,但显然不应该(否则可能会嗅探cookie的值)。由于安全cookie可以通过不安全的连接进行更改,因此您不能相信cookie值未被拦截并将不安全HTTP请求的内容更改为您的站点的第三方损坏。因此,根据您使用安全cookie的方式,您可能需要验证其内容。