Изменить значение HttpOnly файла cookie

В соответствии с правилами PCI большинство файлов cookie в моем приложении должны быть безопасными и доступны только по протоколу http. Я добился этого с помощью этой строки в моем конфигурационном файле Apache:

Редактирование заголовка Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Однако это ломает часть приложения, где один файл cookie, назовем его foobar, должен быть прочитан javascript. Поэтому мне нужно удалить httponly только для этого файла cookie.

Я играл с несколькими подходами, включая mod_rewrite, но я не могу заставить httponly удалить файл cookie. Я не хочу сбрасывать значение файла cookie и т. д., просто удалите часть httponly.

Например. Заголовок всегда редактировать Set-Cookie ^(foobar=.*)$ $1 (не работает)


cookies cookie-httponly apache httponly mod-rewrite
person Leia    schedule 15.12.2016    source источник
comment
Какая версия апача?   -  person Dusan Bajic    schedule 16.12.2016
comment
2.4.23. Я попробую ваш ответ сейчас и вернусь к вам. Спасибо!   -  person Leia    schedule 19.12.2016

Ответы (1)


arrow_upward
2
arrow_downward

Попробуй это:

Header edit Set-Cookie ^((?!foobar=).*)$ $1;HttpOnly;Secure
person Dusan Bajic    schedule 16.12.2016
comment
Когда я пробовал это, ни один из файлов cookie не добавлялся HttpOnly или Secure. Я думаю, ему не понравилось регулярное выражение? - person Leia; 19.12.2016
comment
Действительно, это было не в моей голове, но я ожидал, что это сработает. Я попробую проверить и посмотреть, что не так. - person Dusan Bajic; 19.12.2016
comment
Попробуйте измененную директиву, пожалуйста (always удалено и изменено регулярное выражение) - person Dusan Bajic; 19.12.2016
comment
Он также работает с всегда. Так что, возможно, раньше это было плохое регулярное выражение. - person Ivan; 25.10.2019