PHP Lang
  1. PHP Lang
  3. session_regenerate_id () не работает в IE11 / Edge
Intereting Posts
как я могу получить данные из местоположения URL-адреса Какую библиотеку сеансов следует использовать с CodeIgniter? Правильное использование session_set_cookie_params json_decode в php Как использовать сеансы имен в Symfony2 Форма отправляет с AJAX, передавая данные формы в PHP без обновления страницы Imagecreatefromjpeg возвращает черное изображение после изменения размера PHP. Преобразование многомерного массива в 2D-массив с помощью точечных обозначений. Импорт данных из Excel в PHP Как проверить формат данных в PHP Как заставить код работать с многомерными массивами? Как реализовать чат с помощью JQuery / PHP? Можно ли печатать файлы с помощью PHP? Хороший веб-менеджер загрузки? Как я могу узнать, сколько подключений MySQL открыто?

session_regenerate_id () не работает в IE11 / Edge

У меня есть стандартная ситуация аутентификации … Посетитель заполняет логин + пароль для формирования, php-скрипт аутентифицирует его в базе данных, перенаправляет обратно на какую-то страницу.

В этом процессе мы просто добавляем session_regenerate_id (true), когда клиент успешно аутентифицируется непосредственно перед перенаправлением. Все отлично работает в Chrome, но оно не работает в некоторых версиях (не всех) IE11 и последней версии Edge (в виртуальной коробке – в download.exe). Возможно, это не работает в некоторых других браузерах.

Как это работает в Chrome:

  • страница загрузки клиента с формой входа – он имеет идентификатор сеанса AAA
  • клиент отправляет форму – запрос имеет идентификатор сеанса AAA
  • клиент аутентифицируется – session_regenerate_id (true), вызываемый
  • ответ имеет Set-cookie и идентификатор сеанса BBB (+ местоположение: YYY)
  • браузер запрашивает YYY с идентификатором сессии BBB
  • ответ не имеет set-cookie, поэтому идентификатор сеанса – BBB
  • клиент аутентифицирован

Как это работает в IE11 / Edge:

  • страница загрузки клиента с формой входа – он имеет идентификатор сеанса AAA
  • клиент отправляет форму – запрос имеет идентификатор сеанса AAA
  • клиент аутентифицируется – session_regenerate_id (true), вызываемый
  • ответ имеет Set-cookie и идентификатор сеанса BBB (+ местоположение: YYY)
  • браузер запрашивает YYY с идентификатором сессии AAA
  • в ответе нет set-cookie, поэтому идентификатор сеанса – AAA
  • клиент НЕ аутентифицирован

Проблема в том, что сеанс AAA удаляется при восстановлении идентификатора сеанса, поэтому клиент не может быть аутентифицирован.

Он даже не работает, когда нет заголовка местоположения и просто отображается статическая страница со ссылкой на другую страницу.

Похоже, браузер игнорирует Set-cookie.

Когда я удаляю session_regenerate_id (), он «работает», бутон становится менее безопасным.

Я сам отвечаю на свой вопрос … Проблема в том, что заголовок Set-cookie не содержит домена.

Пример: http://www.site.com

Chrome: работает нормально, получает домен с текущего URL (www.site.com). Edge: не знаю, как, но новый идентификатор сеанса сохраняется на домен site.com

Решение: используйте session_set_cookie_params (), чтобы установить домен на «.site.com» (все поддомены).