คุณจะตั้งค่าใช้คุกกี้ HttpOnly ใน PHP ได้อย่างไร

Question 1

ฉันจะตั้งค่าคุกกี้PHP appsเป็นของฉันได้HttpOnly cookiesอย่างไร?

Question 2

สำหรับคุกกี้ของคุณโปรดดูคำตอบนี้
สำหรับคุกกี้เซสชันของ PHP เอง ( PHPSESSIDโดยค่าเริ่มต้น) โปรดดูคำตอบของ @ richie

setcookie()และsetrawcookie()ฟังก์ชั่นแนะนำhttponlyพารามิเตอร์กลับมาอยู่ในยุคมืดของ PHP 5.2.0 ทำให้นี้ดีและใช้งานง่าย เพียงตั้งค่าพารามิเตอร์ที่ 7 เป็นจริงตามไวยากรณ์

ไวยากรณ์ของฟังก์ชันง่ายขึ้นสำหรับความกะทัดรัด

setcookie(    $name, $value, $expire, $path, $domain, $secure, $httponly )
setrawcookie( $name, $value, $expire, $path, $domain, $secure, $httponly )

ป้อนNULLพารามิเตอร์ที่คุณต้องการให้เป็นค่าเริ่มต้น คุณอาจต้องพิจารณาด้วยว่าคุณควรตั้งค่าsecureพารามิเตอร์หรือไม่

นอกจากนี้ยังสามารถใช้header()ฟังก์ชันระดับล่างที่เก่ากว่า:

header( "Set-Cookie: name=value; httpOnly" );

Question 3

สำหรับคุกกี้เซสชันของ PHP บน Apache:
เพิ่มสิ่งนี้ในการกำหนดค่า Apache ของคุณหรือ.htaccess

<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule>

นอกจากนี้ยังสามารถตั้งค่าภายในสคริปต์ได้ตราบเท่าที่มีการเรียกใช้ก่อนหน้าsession_start()นี้

ini_set( 'session.cookie_httponly', 1 );

Question 4

โปรดทราบว่าคุกกี้เซสชัน PHP ไม่ได้ใช้httponlyโดยค่าเริ่มต้น

ในการทำเช่นนั้น:

$sess_name = session_name();
if (session_start()) {
    setcookie($sess_name, session_id(), null, '/', null, null, true);
}

หมายเหตุสองสามข้อที่นี่:

คุณต้องโทรsession_name() มาก่อนsession_start()
นอกจากนี้ยังตั้งค่าเส้นทางเริ่มต้นเป็น '/' ซึ่งจำเป็นสำหรับ Opera แต่คุกกี้เซสชัน PHP ใดไม่ทำตามค่าเริ่มต้น

Question 5

โปรดทราบว่า HttpOnly ไม่ได้หยุดการเขียนสคริปต์ข้ามไซต์ แต่จะทำให้การโจมตีที่เป็นไปได้นั้นเป็นกลางแทนและในปัจจุบันทำได้เฉพาะบน IE (FireFox เปิดเผยคุกกี้ HttpOnly ใน XmlHttpRequest และ Safari ไม่ให้เกียรติเลย) โดยทั้งหมดให้เปิด HttpOnly แต่อย่าทิ้งการกรองเอาต์พุตและทดสอบฟัซซ์แม้แต่ชั่วโมงเดียวในการแลกเปลี่ยน

Question 6

<?php
//None HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, FALSE); 

//HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

?>

ที่มา

Question 7

คำอธิบายที่นี่จาก Ilia ... 5.2 เท่านั้น

http สนับสนุนเฉพาะคุกกี้แฟล็กใน PHP 5.2

ตามที่ระบุไว้ในบทความนั้นคุณสามารถตั้งค่าส่วนหัวด้วยตัวคุณเองใน PHP เวอร์ชันก่อนหน้า

header("Set-Cookie: hidden=value; httpOnly");

Question 8

คุณสามารถระบุได้ในฟังก์ชัน set cookies โปรดดูคู่มือ php

setcookie('Foo','Bar',0,'/', 'www.sample.com'  , FALSE, TRUE);

Question 9

คุณสามารถใช้สิ่งนี้ในไฟล์ส่วนหัว

// setup session enviroment
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);

วิธีนี้คุกกี้เซสชันในอนาคตทั้งหมดจะใช้ httponly

อัปเดตแล้ว

Question 10

ไวยากรณ์ที่ถูกต้องของคำสั่ง php_flag คือ

php_flag  session.cookie_httponly On

และโปรดทราบเพียงคำตอบแรกจากเซิร์ฟเวอร์ตั้งค่าคุกกี้และที่นี่ (ตัวอย่างเช่นคุณสามารถดูคำสั่ง "HttpOnly" ดังนั้นสำหรับการทดสอบการลบคุกกี้ออกจากเบราว์เซอร์หลังจากการร้องขอการทดสอบทุกครั้ง

Question 11

โซลูชันที่สวยงามยิ่งขึ้นตั้งแต่PHP> = 7.0

session_start(['cookie_lifetime' => 43200,'cookie_secure' => true,'cookie_httponly' => true]);

session_start

ตัวเลือก session_start