PHP setcookie 函数不支持 httponly 或安全参数

Question

我不知道为什么会发生这种情况或如何解决它。

我可以运行这个：

setcookie('cookie_name', 1, time()+86400*365*2, "/", ".domain.com", false, false);

当我加载脚本时，我在响应头中得到了这个：

cookie_name=1; expires=Fri, 19-Feb-2021 19:08:57 GMT; Max-Age=63072000; path=/; domain=.domain.com;HttpOnly;Secure

如您所见，即使我明确告诉它不要使用这些标志，它也会强制使用 httponly 和安全标志。

为什么会发生这种情况，我该如何解决？

这是 PHP 7.1

如果这很重要，则通过 https 访问该网站。

编辑： 我们在 .htaccess 文件中使用 Strict-Transport-Security 标头。我尝试将其注释掉，但似乎没有任何效果。

编辑2： 我可以通过在 javascript 中设置 cookie 来解决这个问题。这使我无法阅读我需要的 cookie javascript。这个域在 HSTS 预加载列表中，所以我感觉 chrome 正在添加这个标志，因为它知道这个域是安全的。我不确定为什么它允许 javascript 将它们设置为未修改。

如果set-cookie 标头上有任何关于 HSTS 预加载及其影响的信息，是否有人知道？

Answer 1

我认为有趣的是最后两个标志的分号周围没有空格。这表明了以下三个原因之一：

1. 这是您在创建问题时犯的一个不重要的错字。
2. PHP 很奇怪。我不使用它，所以没有超出可能性范围。
3. PHP 之外的其他东西正在设置这些属性。

I created a way of forcing these flags in Apache even if the backend process creating the cookies didn’t set them 使用这个 Apache 配置：

# Rewrite any session cookies to make them more secure
# Make ALL cookies created by this server are HttpOnly and Secure
# (except the SPECIAL-CLIENT cookie and OTHER-COOKIE which can't be HttpOnly and is already set to Secure)  
Header edit Set-Cookie ^((?!(SPECIAL-CLIENT|OTHER-COOKIE).*)$ $1;HttpOnly;Secure
#Strip off double Secure or HttpOnly settings as if App and Apache sets above you can sometimes get both
Header edit Set-Cookie ^(.*);\s?Secure;?\s?(.*);\s?Secure;?\s?(.*)$ "$1; $2; $3; Secure"
Header edit Set-Cookie ^(.*);\s?HttpOnly;?\s?(.*);\s?HttpOnly;?\s?(.*)$ "$1; $2; $3; HttpOnly"
#Strip off double ;; settings
Header edit Set-Cookie ^(.*);\s?;\s?(.*)$ "$1; $2"

您是否有可能使用类似或类似的东西在 PHP 之外设置这些属性？