刚收到安全审核的结果-除两件事外,其他一切都清晰可见
没有http标志的会话cookie。
没有设置安全标志的会话cookie。
该应用程序是用php编码的,修复建议为:
我看过一些示例,但并不完全了解如何在Linux服务器上实现。我无权访问 .ini 文件。是否可以在htaccess文件中进行设置?
或者,如何在代码中以及在哪里实现?
由于您要求输入.htaccess,并且此设置为PHP_INI_ALL,因此只需将其放入您的.htaccess中即可:
php_value session.cookie_httponly 1 php_value session.cookie_secure 1
请注意,会话Cookie将仅在此之后与 https 请求一起发送。如果您在非安全的http页面中丢失了会话,这可能会令人感到惊讶(但正如注释中指出的那样,实际上首先是配置的重点…)。
