我正在努力确保Symfony网站的安全。我看过以下页面:transitive dependencies
并将建议的更改应用到framework.yaml:
session:
handler_id: ~
cookie_secure: true
cookie_httponly: true
登录后,在“网络”标签中,我看到了Set-Cookie的三个实例。第一个是cookie的删除,具有安全和HttpOnly属性。第二个是cookie创建,其中cookie标识符具有安全和HttpOnly属性。第三是以HTTP编码的方式设置一些参数,该参数还具有安全和HttpOnly属性。到目前为止,一切都很好。但是,当我转到任何页面时,请求标头中都有一个Cookie属性,该属性具有与之前创建的标识符相同的标识符,但是未指定secure和HttpOnly属性。
因此,当我登录并创建cookie时,我具有我期望的属性,但是后来,在访问单独的页面时,我不再看到它们。为什么在以后的登录后请求标头中未指定安全和HttpOnly属性?我错过了什么吗?
答案 0 :(得分:1)
服务器在 Response 标头中设置安全属性,浏览器使用它们来确定是否必须在 Request 中一起发送cookie。从不发送属性本身,仅发送cookie值。如果您检查ajax或不安全的请求,则cookie标头应该根本不会出现在请求中。
您可以在RFC6265中看到一些示例。