définir des cookies avec HTTPOnly des drapeaux dans codeigniter

J'aimerais savoir comment configurer les cookies HTTPOnly dans Codeigniter. J'ai passé en revue la documentation et ne voit pas comment définir cet indicateur.

J'ai également été à la recherche pour définir l'indicateur de sécurité pour les cookies et l'a trouvé dans la config.php fichier:

$config['cookie_secure'] = TRUE;

Mais il n'y avait pas une option dans HTTPOnly config.php.

Comment puis-je régler tous les cookies HTTPOnly? Et si c'est fait dans le cadre, il serait utile de savoir d'où ce code est pour mon propre apprentissage (et ce qui est la valeur par défaut).

source d'informationauteur chowwy

  1. 24

    Heureusement, vous pouvez regarder le code source pour Session.php sur GitHub

    En fonction _set_cookie vous verrez:

    //Set the cookie
setcookie(
    $this->sess_cookie_name,
    $cookie_data,
    $expire,
    $this->cookie_path,
    $this->cookie_domain,
    $this->cookie_secure,
    $this->cookie_httponly
);

    La valeur de $this->cookie_httponly est affecté dans __construct et la valeur par défaut est FAUX, mais vous pouvez l'activer par le biais de config.php comme suit:

    $config['cookie_httponly'] = TRUE;

    Cela permettra à vos cookies dans le cadre de HTTPOnly.

  2. 9

    J'ai trouvé que leur est une drwaback en session mgmt de codeigniter parce que

    -

    1. 2.1.3 version n'est pas leur cookie_httponly drapeau.

      Solution:

      Étape 1 :Vous devez créer propre My_session.php dans la bibliothèque et d'étendre le système de fichier de session ou de modifier Session.php (dans système->bibliothèque->Session.php fichier)

      Étape 2: trouver _set_cookie($cookie_data = NULL) fonction goto setcookie() et de le modifier comme

      setcookie(
      $this->sess_cookie_name,
      $cookie_data,
      $expire,
      $this->cookie_path,
      $this->cookie_domain,
      $this->cookie_secure,
      TRUE
      ); //add True flag.

    2. Même si vous ajoutez "VRAI" et si un test avec de l'OWASP ZAP outil,
      un certain temps, il vous donnerons CSRF questions
      ie: HTTPONLY n'est pas vrai,
      indicateur de sécurité n'est pas activer.

      La raison: Car, si sess_destroy ils sont le réglage de la HTTPONLY et indicateur de sécurité aucun.

      Solution: mettre à Jour sess_destroy fonction dans Session.php comme 

       //Kill the cookie 
`setcookie(
          $this->sess_cookie_name,
         addslashes(serialize(array())),
         ($this->now - 31500000),
         $this->cookie_path,
         $this->cookie_domain,
         TRUE,
         TRUE 
     );`

    Étant donné que ces questions m'a donné des nuits sans sommeil, donc j'espère que cela va vous aider. 🙂

  3. 3

    2.1.3 ne contient pas de cookie_httponly dans le foreach afin de ne pas le régler.

    foreach (array('sess_encrypt_cookie', 'sess_use_database', 'sess_table_name', 'sess_expiration', 'sess_expire_on_close', 'sess_match_ip', 'sess_match_useragent', 'sess_cookie_name', 'cookie_path', 'cookie_domain', 'cookie_secure', 'sess_time_to_update', 'time_reference', 'cookie_prefix', 'encryption_key') as $key)

    aussi il ne définit pas ici...

        setcookie(
                $this->sess_cookie_name,
                $cookie_data,
                $expire,
                $this->cookie_path,
                $this->cookie_domain,
                $this->cookie_secure
            );