[请益] cookie的secure与HttpOnly设定问题 Peruheru PTT批踢踢实业坊

[请益] cookie的secure与HttpOnly设定问题

楼主: Peruheru (还在想) 2015-12-21 15:27:13

大家好
维护的网站中有个网站是架在IIS7.5上的php5.3网站
网站中的cookie是session在使用的
而资安要求要将cookie设为secure与HttpOnly
想说可以的话尽量不要更改程式
所以我改了php.ini中关于这两者的设定
session.cookie_secure = 1
session.cookie_httponly = 1
改完网站重新启动后，开启网站的页面
从开发者工具查看header
有看到结果如下：
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
06:59:34 GMT; path=/; secure; HttpOnly
可是在按F5重新整理页面后，header会像这样：
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
07:00:17 GMT; path=/
也就是少掉了secure与HttpOnly标签
从PHPSESSIONID可以看出这是同一个Session的cookie
请问这是正常现象吗?cookie的这两项设定只有在初次给予时要设定吗?
还是说这是后来漏掉了我必须补上这两项设定呢?
谢谢各位

继续阅读

[问题] 请问能用什么其他PHP方式来执行cron job?banana2014 [请益] 怎么备注管理PHP档案rls0914 [问题] 请问为什么我的程式无法起作用? (使用...banana2014 [请益] 博奕类网站套用 Yahoo 第三方登入问题chan15 Re: [请益] phpExcel开启档案时会占用网页服务器资源y2468101216 [请益] phpExcel开启档案时会占用网页服务器资源b95170088 [请益] curl_exec执行不停，求助!!!!cutepiyo [请益] composer 可以跳过版本检查吗knives [问题] 关于IMAP的问题…banana2014 [请益] socket和ajax资料接收以及sql的max()用法st1009