Я хочу сделать свою сессию cookie HttpOnly. На основе this article, я добавил это к моему application.ini:Zend Framework, Sessions и HttpOnly
resources.session.cookie_httponly = true
К сожалению, когда я смотрю на куки сессии в Firecookie, это не отмечен как HttpOnly, как я указал. Какой шаг я пропущу?
Try в загрузчике, чтобы сделать Zend_Session::setOptions(array('cookie_httponly' => true)); (где-то до сеанса первой инициализации) жесткий, он должен работать с app.ini файлом тоже.
Добавьте это в свой файл application.ini.
phpSettings.session.cookie_httponly = true
Для этого на 100% безопасно.
Серверу не разрешается использовать параметр http trace. Трассировка параметра http сообщает идентификатор сеанса. Если злоумышленник может вводить апплет java, flash или javascript с помощью ajax, злоумышленник может также украсть файлы cookie даже с установленным флагом httponly ...
«Когда я смотрю на файл cookie сессии в Firecookie, он не помечен как HttpOnly "--- как именно печенье должно быть отмечено? Что вы ожидали увидеть там? – zerkms 2010-12-16 15:01:30
`HttpOnly` ** является ** шагом для защиты от XSS: http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html – Sonny 2010-12-16 15:08:36