大家好
维护的网站中有个网站是架在IIS7.5上的php5.3网站
网站中的cookie是session在使用的
而资安要求要将cookie设为secure与HttpOnly
想说可以的话尽量不要更改程式
所以我改了php.ini中关于这两者的设定
session.cookie_secure = 1
session.cookie_httponly = 1
改完网站重新启动后,开启网站的页面
从开发者工具查看header
有看到结果如下:
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
06:59:34 GMT; path=/; secure; HttpOnly
可是在按F5重新整理页面后,header会像这样:
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
07:00:17 GMT; path=/
也就是少掉了secure与HttpOnly标签
从PHPSESSIONID可以看出这是同一个Session的cookie
请问这是正常现象吗?cookie的这两项设定只有在初次给予时要设定吗?
还是说这是后来漏掉了我必须补上这两项设定呢?
谢谢各位