我有建立一个网站与登录系统。刚刚准备好后,我用Acunetix扫描了它,但我收到以下消息:没有HttpOnly会话Cookie标志设置
没有HttpOnly标志的会话Cookie设置 没有安全标志的会话Cookie设置(我猜这只有当我有SSL连接时)
所以我的问题是,我该如何为所有会话数据设置HttpOnly标志?我只是在登录用户时使用会话。我给他们一个使用userID号码的会话,而不是使用该userID获取数据。
是否有任何简单的方法,我可以设置所有的会话HTTPOnly并保护它们,因此没有人可以触摸它们?
如果我在php.ini设置,这将是安全的,这个问题将是解决呢? – user1406071
是的,你应该通过安全扫描,一旦你有两个ini值设置正确(无论是在php.ini或运行时通过提到的其他方法)。 –
我在webmin看过我的php.ini,但没有找到像session.cookie_httponly这样的东西:(我有版本5.2,是否可以吗? – user1406071