在 codeigniter 中使用 HTTPOnly 标志设置 cookie

【问题标题】:setting cookies with HTTPOnly flags in codeigniter在 codeigniter 中使用 HTTPOnly 标志设置 cookie
【发布时间】:2012-05-18 10:13:12
【问题描述】:

我想知道如何在 Codeigniter 中将 cookie 设置为 HTTPOnly。我查看了文档,但没有看到如何设置此标志。

我还想为 cookie 设置安全标志,并在 config.php 文件中找到它:

$config['cookie_secure'] = TRUE;

但 config.php 中没有 HTTPOnly 选项。

如何将所有 cookie 设置为 HTTPOnly?如果它是在框架中完成的,那么知道该代码在哪里供我自己学习(以及默认值是什么)会很有帮助。

【问题讨论】:

    标签: codeigniter cookies codeigniter-2 xss


    【解决方案1】:

    幸运的是,您可以在 GitHub 上查看 Session.php 的源代码

    在函数_set_cookie 中你会看到:

    // Set the cookie
setcookie(
    $this->sess_cookie_name,
    $cookie_data,
    $expire,
    $this->cookie_path,
    $this->cookie_domain,
    $this->cookie_secure,
    $this->cookie_httponly
);

    $this->cookie_httponly 的值在__construct 中赋值,默认为 FALSE,但您可以通过config.php 将其设置为 TRUE,如下所示:

    $config['cookie_httponly'] = TRUE;

    这将使框架内的 cookie 成为 HTTPOnly。

    【讨论】:

    • 这在 2.1.3 版中不再有效,如下面评论中所述。
    【解决方案2】:

    我发现他们在 codeigniter 的 session mgmt 中是一个 drwaback,因为

    -

    1. 2.1.3 版本没有 cookie_httponly 标志。
      解决方案:
      步骤1:您需要在库中创建自己的My_session.php并扩展系统会话文件或修改Session.php(在system->library->Session.php文件中)
      第二步:找到_set_cookie($cookie_data = NULL)函数,进入setcookie()修改为

      setcookie( $this->sess_cookie_name, $cookie_data, $expire,
      $this->cookie_path, $this->cookie_domain, $this->cookie_secure, TRUE ); // add True flag.

    2. 即使您添加“TRUE”并且如果使用 OWASP ZAP 工具进行测试,
      有时它会给您带来 CSRF 问题
      即:HTTPONLY 不正确,
      未启用安全标志。

      原因:因为在 sess_destroy 时,他们将 HTTPONLY 和 Secure 标志设置为 none。
      解决方案:将 Session.php 中的 sess_destroy 函数更新为 

       // Kill the cookie 
`setcookie(
          $this->sess_cookie_name,
         addslashes(serialize(array())),
         ($this->now - 31500000),
         $this->cookie_path,
         $this->cookie_domain,
         TRUE,
         TRUE 
     );`

    由于这些问题让我彻夜难眠,所以我希望这对您也有帮助。 :)

    【讨论】:

      【解决方案3】:

      2.1.3的foreach中不包含cookie_httponly所以不会设置。

      foreach (array('sess_encrypt_cookie', 'sess_use_database', 'sess_table_name', 'sess_expiration', 'sess_expire_on_close', 'sess_match_ip', 'sess_match_useragent', 'sess_cookie_name', 'cookie_path', 'cookie_domain', 'cookie_secure', 'sess_time_to_update', 'time_reference', 'cookie_prefix', 'encryption_key') as $key)

      这里也没有设置...

          setcookie(
                $this->sess_cookie_name,
                $cookie_data,
                $expire,
                $this->cookie_path,
                $this->cookie_domain,
                $this->cookie_secure
            );

      【讨论】:

      • 我可以在我的测试中确认这一点,你知道如何设置吗?
      【解决方案4】:

      这个功能现在在 v2 中确实存在,请参阅这个 config.php:

      | 'cookie_httponly' = Cookie 只能通过 HTTP(S) 访问(无 javascript)

      $config['cookie_httponly'] = TRUE;

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2012-10-13
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2018-02-07
        • 2015-07-21
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode