создаются ли неявные файлы cookie во время веб-навигации? / флаг только http

На моем веб-сайте я не использую никаких файлов cookie, все проходит через обработку сеансов на стороне сервера. (вообще нет инструкции setcookie)

Но тем не менее, используя средство проверки уязвимостей веб-сайтов Acunetix, я получаю отчет о «Сеансовом файле cookie без установленного флага httpOnly».

Есть что-то, что мне не хватает? Существуют ли какие-либо неявные файлы cookie?

Спасибо


php security session cookies httponly
person Sebas    schedule 16.03.2013    source источник
comment
session_start() выполняет неявный setcookie() для сохранения идентификатора сеанса в клиентском браузере в виде файла cookie... ЕСЛИ вы включили сеансы trans_sid в PHP, что является ужасно глупо плохой идеей   -  person Marc B    schedule 16.03.2013
comment
Я вижу, это отвечает на мой вопрос. Как установить флаг httpOnly для этих файлов cookie?   -  person Sebas    schedule 16.03.2013
comment
php.net/manual/en/function.session-set- cookie-params.php   -  person Marc B    schedule 16.03.2013
comment
спасибо, я тоже обратил внимание на параметр session.cookie-secure по пути.   -  person Sebas    schedule 16.03.2013

Ответы (1)


arrow_upward
1
arrow_downward

Сеансы используют файлы cookie! Если вы не передаете идентификатор сеанса в URL-адресах (что тоже нехорошо), сеанс устанавливает файл cookie. Сеанс состоит из хранилища данных на стороне сервера и файла cookie сеанса, который содержит случайный идентификатор, связывающий клиента с данными на стороне сервера.

person deceze♦    schedule 16.03.2013
comment
спасибо, есть ли конфиденциальные данные на стороне клиента? Как применить к ним флаг httponly? - person Sebas; 16.03.2013
comment
на клиенте будут только конфиденциальные данные, если вы поместите их туда. идентификатор сеанса МОЖЕТ быть конфиденциальным, например. идентификатор сеанса для входа в ваш банк, а не вообще бесполезная сессия для входа в фейсбук среднестатистического взволнованного подростка. - person Marc B; 16.03.2013
comment
Нет, я абсолютно не храню никакой личной или конфиденциальной информации. Я все равно защищу. Спасибо, ребята, быть новичком — это здорово, что вы учитесь каждый день :-) - person Sebas; 16.03.2013