資安

[資安]Cookies without HttpOnly flag set

Cookies without HttpOnly flag set

請參考:HttpOnly – HTTP Headers 的資安議題 (3)

HTTP Session 攻擊與防護

Cookies with missing, inconsistent or contradictory properties

-Cookie without SameSite attribute.
When cookies lack the SameSite attribute, Web browsers may apply different and sometime

Cookies without Secure flag set

上面的問題其實都可以用一行搞定

setcookie('cross-site-cookie', 'name', ['samesite' => 'Strict', 'secure' => true, 'httponly' =>true]);

你就可以在你的登入頁面上看到下圖

當然這邊有個要注意的是secure 這個屬性,你的網站要有HTTPS再開啟,如果沒有的話是沒有用的

會出現如下圖這樣多冒出一個驚嘆號

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)