English 中文(简体)
如何在PHP中设置使用HttpOnly cookie
原标题:
  • 时间:2008-08-31 14:27:50
  •  标签:

如何将PHP应用程序中的cookie设置为HttpOnly cookie

最佳回答
  • For your cookies, see this answer.
  • For PHP s own session cookie (PHPSESSID, by default), see @richie s answer

setcookie()setrawcookie()函数,在PHP 5.2.0的黑暗时代引入了布尔值httponly参数,使其变得简单明了。只需根据语法将第7个参数设置为true

为简洁起见,简化了函数语法

setcookie(    $name, $value, $expire, $path, $domain, $secure, $httponly )
setrawcookie( $name, $value, $expire, $path, $domain, $secure, $httponly )

在PHP<;8,为要保留为默认值的参数指定NULL

在PHP中>;=8您可以从使用命名参数中获益。请参阅这个关于命名参数的问题

setcookie( $name, $value, httponly:true )

也可以使用较旧的较低级别header()函数:

header( "Set-Cookie: name=value; HttpOnly" );

您可能还需要考虑是否应该设置Secure参数。

时间:2008-08-31 14:38:41
问题回答

For PHP s own session cookies on Apache:
add this to your Apache configuration or .htaccess

<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule>

这也可以在脚本中设置,只要在session_start()之前调用即可。

ini_set(  session.cookie_httponly , 1 );
时间:2012-01-04 11:41:46

请注意,PHP会话cookie默认情况下不使用httponly

要做到这一点:

$sess_name = session_name();
if (session_start()) {
    setcookie($sess_name, session_id(), null,  / , null, null, true);
}

这里有几点需要注意:

  • You have to call session_name() before session_start()
  • This also sets the default path to / , which is necessary for Opera but which PHP session cookies don t do by default either.
时间:2008-10-30 14:57:19

请注意,HttpOnly不会停止跨站点脚本编写;相反,它中和了一种可能的攻击,目前只在IE上进行攻击(FireFox在XmlHttpRequest中公开HttpOnly cookie,Safari根本不尊重它)。无论如何,打开HttpOnly,但不要为了它而放弃一个小时的输出过滤和模糊测试。

时间:2008-09-10 21:40:41 
<?php
//None HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, FALSE); 

//HttpOnly cookie:
setcookie("abc", "test", NULL, NULL, NULL, NULL, TRUE); 

?>

来源

时间:2008-08-31 14:36:36

您可以在设置cookie函数中指定它请参阅php手册

setcookie( Foo , Bar ,0, / ,  www.sample.com   , FALSE, TRUE);
时间:2008-08-31 14:37:06

伊利亚在这里解释。。。5.2尽管如此

PHP 5.2中的httpOnly cookie标志支持

正如文章中所述,您可以在以前版本的PHP中自己设置头

header("Set-Cookie: hidden=value; httpOnly");
时间:2008-08-31 14:35:02

您可以在头文件中使用它。

// setup session enviroment
ini_set( session.cookie_httponly ,1);
ini_set( session.use_only_cookies ,1);

这样,未来所有会话cookie都将只使用http。

  • Updated.
时间:2013-05-27 22:24:17

php_flag命令的正确语法是

php_flag  session.cookie_httponly On

请注意,服务器的第一个答案就是设置cookie,然后在这里(例如,你可以看到“HttpOnly”指令。因此,为了测试,在每次测试请求后从浏览器中删除cookie。

时间:2013-11-19 20:51:10

一个更优雅的解决方案,因为PHP>=7.0

session_start([ cookie_lifetime  => 43200, cookie_secure  => true, cookie_httponly  => true]);

会话开始

会话启动选项

时间:2020-04-23 15:38:02

Solução<code>session_start([cookie_lifetime=>;43200,cookie_secure=>;true,cookie_httponly=>!true])

这是一种形式上的功能。

时间:2021-10-05 19:56:50


上一篇:
下一篇:


相关问题
热门标签

友情链接

Allggapp Alljchome-教程家园 mvfinale.com-影视剧情大结局大全