【发布时间】:2015-03-06 10:23:17
【问题描述】:
我的系统管理员进行了扫描并告诉我应该为 PHP 会话激活 secure 参数(该站点使用 HTTPS)。
我们发现人们同时使用httpOnly,但这似乎有点矛盾。我应该怎么办?激活两者,还是只激活secure?
【问题讨论】:
【发布时间】:2015-03-06 10:23:17
【问题描述】:
设置两个标志绝对是最佳实践。
安全表示客户端浏览器将仅在使用 https 协议时将带有会话 ID 的 cookie 发送回服务器。
HttpOnly 表示客户端浏览器将阻止 JavaScript 访问 cookie。它可以保护您的用户免受会话窃取(即,如果您的网站上存在 XSS 漏洞)。
【讨论】:
-
谢谢。我以为 httpOnly 的意思是“没有 https”。
httponly 与您是否使用 https 无关(大部分情况下)...是的,您应该同时启用两者。有关 httponly 的更多信息,请参阅https://www.owasp.org/index.php/HttpOnly。
【讨论】:
-
感谢这个不错的链接。我真的应该花更多的时间在 owasp 上
-
owasp 有很多可靠的信息,通常由案例研究支持,它绝对应该在你的阅读清单上;)