dsgd4654674 2017-02-23 08:08 采纳率: 0%
浏览 2809

session.cookie_secure不设置安全cookie属性

我在php.ini中将session.cookie_security设置为1/true,并在Apache或php-fpm+nginx服务器后面运行以下代码:

<!DOCTYPE html>
<?php
$cookie_name = "user";
$cookie_value = "John Doe";
setcookie($cookie_name, $cookie_value, time() + (86400 * 30), "/"); // 86400 = 1 day
?>
<html>
<body>

<?php
if(!isset($_COOKIE[$cookie_name])) {
    echo "Cookie named '" . $cookie_name . "' is not set!";
} else {
    echo "Cookie '" . $cookie_name . "' is set!<br>";
    echo "Value is: " . $_COOKIE[$cookie_name];
}
?>

</body>
</html>

在重新启动php-fpm/apache之后,“Secure”属性不会出现在set-Cookie头中。使用wget和Firefox进行检查(开发人员工具>切换工具>网络),echo session_get_cookie_params()[secure];会返回结果1,HTTPSCGI参数打开/关闭似乎也并没有什么区别。

echo $_SERVER['HTTPS'];

这在RHEL/CentOS/EL 6(PHP 5.3.3)、RHEL/CentOS/EL 7(PHP 5.4)和Gentoo(PHP 5.6.29)中得到了相同的结果。

  • 写回答

1条回答 默认 最新

  • duanlie7962 2017-02-28 09:58
    关注

    session.cookie_secure configures the secure flag only for cookies sent by PHP's session extension; i.e. Set-Cookie headers triggered by session_start(), session_regenerate_id() calls.

    It does not affect setcookie() or setrawcookie() (nor anything else in PHP that may send cookies to the client) - these functions have their own $secure parameter for that purpose.

    评论

报告相同问题?

悬赏问题

  • ¥15 改算法,照着压缩包里边,参考其他代码封装的格式 写到main函数里
  • ¥15 用windows做服务的同志有吗
  • ¥60 求一个简单的网页(标签-安全|关键词-上传)
  • ¥35 lstm时间序列共享单车预测,loss值优化,参数优化算法
  • ¥15 Python中的request,如何使用ssr节点,通过代理requests网页。本人在泰国,需要用大陆ip才能玩网页游戏,合法合规。
  • ¥100 为什么这个恒流源电路不能恒流?
  • ¥15 有偿求跨组件数据流路径图
  • ¥15 写一个方法checkPerson,入参实体类Person,出参布尔值
  • ¥15 我想咨询一下路面纹理三维点云数据处理的一些问题,上传的坐标文件里是怎么对无序点进行编号的,以及xy坐标在处理的时候是进行整体模型分片处理的吗
  • ¥15 一直显示正在等待HID—ISP