आप PHP में केवल कुकीज़ का उपयोग कैसे सेट अप करते हैं




security cookies (6)

Php_flag कमांड का सही वाक्यविन्यास है

php_flag  session.cookie_httponly On

और जागरूक रहें, सर्वर से पहले जवाब केवल कुकी सेट करें और यहां (उदाहरण के लिए आप "केवल" निर्देश देख सकते हैं। इसलिए प्रत्येक परीक्षण अनुरोध के बाद ब्राउज़र से कुकीज को हटाने का परीक्षण करने के लिए।

मैं अपने PHP apps में HttpOnly cookies को HttpOnly cookies रूप में कैसे सेट कर सकता हूं?


अपाचे पर PHP के स्वयं के सत्र कुकीज़ के लिए:
इसे अपने अपाचे कॉन्फ़िगरेशन या .htaccess

<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule>

इसे एक स्क्रिप्ट के भीतर भी सेट किया जा सकता है, जब तक इसे session_start() से पहले कहा जाता है।

ini_set( 'session.cookie_httponly', 1 );

आप इसे हेडर फ़ाइल में उपयोग कर सकते हैं।

// setup session enviroment
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);

इस तरह सभी भविष्य की कुकीज़ httponly का उपयोग करेंगे।


इलिया से यहां स्पष्टीकरण ... 5.2 हालांकि यद्यपि

PHP 5.2 में केवल कुकी ध्वज समर्थन http

जैसा कि उस आलेख में बताया गया है, आप हेडर को स्वयं PHP के पिछले संस्करणों में सेट कर सकते हैं

header("Set-Cookie: hidden=value; httpOnly");

ध्यान रखें कि Http केवल क्रॉस-साइट स्क्रिप्टिंग को नहीं रोकता है; इसके बजाय, यह एक संभावित हमले को बेअसर करता है, और वर्तमान में केवल आईई पर ही करता है (फ़ायरफ़ॉक्स एक्सएमएलएचटीपीआरक्वेट में केवल कुकीज़ को उजागर करता है, और सफारी इसे बिल्कुल सम्मान नहीं देता है)। हर तरह से, केवल चालू करें, लेकिन इसके लिए व्यापार में आउटपुट फ़िल्टरिंग और फ़ज़ परीक्षण का एक घंटा भी न छोड़ें।


<?php
//None HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, FALSE); 

//HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

?>

स्रोत







httponly