Недавно сканирование было выполнено в одном из наших приложений, и оно вернуло следующие 1 угрозы безопасности:
1.Cookies NotMarked As Secure :: Cookie без установленного флага
2.Cookie без установленного флага HttpOnly :: Набор флагов HttpOnly Cookiewithout
$this->cache_ptr = new CACHE($_COOKIE["sess"], 0, 0); CACHE – это пользовательская библиотека, которая использует сеансы и т. Д.
Я не уверен в правильном синтаксисе, чтобы пометить cookie secure и установить cookie с флагом HttpOnly. Кроме того, это устаревшее приложение, работающее на php 4. Может ли кто-нибудь помочь мне с этим или указать мне на ресурс?
EDIT: Я реализовал рекомендацию Свена. Есть ли способ проверить безопасную функциональность?
Кроме того, поскольку я использую php4 (который должен быть обновлен eventaully), я не могу использовать httponly в функции setcookie. Так значит ли это, мне нужно добавить следующую строку перед функцией setcookie?
header("Set-Cookie: hidden=value; httpOnly");
будет ли он работать с моей функцией setcookie?
используйте setcookie() . читайте об этом здесь . Установите шестой параметр равным true, чтобы сделать файл cookie безопасным.
Отображаемый код не устанавливает cookie. Это может вызвать настройку cookie, но по существу вы должны посмотреть на класс CACHE и посмотреть, что там происходит.
Вы ищете вызовы функций setcookie() , а если не найдены, для header('Set-Cookie...') .
Вам нужно будет изменить setcookie (), чтобы включить все значения по умолчанию для дополнительных параметров, пока в конце вы не установите для последних двух значение true для безопасного и httponly.
Взгляните на руководство: http://de1.php.net/setcookie