définir des cookies avec HTTPOnly des drapeaux dans codeigniter
J'aimerais savoir comment configurer les cookies HTTPOnly dans Codeigniter. J'ai passé en revue la documentation et ne voit pas comment définir cet indicateur.
J'ai également été à la recherche pour définir l'indicateur de sécurité pour les cookies et l'a trouvé dans la config.php fichier:
$config['cookie_secure'] = TRUE;
Mais il n'y avait pas une option dans HTTPOnly config.php.
Comment puis-je régler tous les cookies HTTPOnly? Et si c'est fait dans le cadre, il serait utile de savoir d'où ce code est pour mon propre apprentissage (et ce qui est la valeur par défaut).
source d'informationauteur chowwy
Vous devez vous connecter pour publier un commentaire.
Heureusement, vous pouvez regarder le code source pour Session.php sur GitHub
En fonction
_set_cookie
vous verrez:La valeur de
$this->cookie_httponly
est affecté dans__construct
et la valeur par défaut est FAUX, mais vous pouvez l'activer par le biais deconfig.php
comme suit:Cela permettra à vos cookies dans le cadre de HTTPOnly.
J'ai trouvé que leur est une drwaback en session mgmt de codeigniter parce que
-
2.1.3 version n'est pas leur cookie_httponly drapeau.
Solution:
Étape 1 :Vous devez créer propre My_session.php dans la bibliothèque et d'étendre le système de fichier de session ou de modifier Session.php (dans système->bibliothèque->Session.php fichier)
Étape 2: trouver _set_cookie($cookie_data = NULL) fonction goto setcookie() et de le modifier comme
setcookie(
$this->sess_cookie_name,
$cookie_data,
$expire,
$this->cookie_path,
$this->cookie_domain,
$this->cookie_secure,
TRUE
); //add True flag.
Même si vous ajoutez "VRAI" et si un test avec de l'OWASP ZAP outil,
un certain temps, il vous donnerons CSRF questions
ie: HTTPONLY n'est pas vrai,
indicateur de sécurité n'est pas activer.
La raison: Car, si sess_destroy ils sont le réglage de la HTTPONLY et indicateur de sécurité aucun.
Solution: mettre à Jour sess_destroy fonction dans Session.php comme
Étant donné que ces questions m'a donné des nuits sans sommeil, donc j'espère que cela va vous aider. 🙂
2.1.3 ne contient pas de cookie_httponly dans le foreach afin de ne pas le régler.
aussi il ne définit pas ici...