나는 로그인 시스템으로 웹 사이트를 구축했습니다. 방금 준비가 끝나면 Acunetix로 스캔했지만 다음 메시지가 나타납니다.세션 HttpOnly 플래그가 설정되지 않은 쿠키
세션 HttpOnly 플래그가없는 세션 쿠키 보안 쿠키가없는 세션 쿠키 (SSL 연결이있는 경우에만 사용)
내 질문에, 어떻게 내 모든 세션 데이터에 대해 HttpOnly 플래그를 설정할 수 있습니까? 사용자 로그인시 세션을 사용하고 있습니다. 나는 그들에게 그들의 userID 번호를 가진 세션을 제공하고 있으며, 나는 그 userID를 사용하여 데이터를 얻고있다.
모든 세션을 HTTPOnly로 설정하고 보안을 설정할 수있는 간단한 방법이 없으므로 아무도 세션에 손을 대볼 수 없습니까?
내가 php.ini 파일에 설정하면, 그것은 안전하고이 문제가 될 것입니다 그것으로 해결 되었습니까? – user1406071
예, phi.ini 또는 런타임에 언급 된 다른 방법을 통해 두 ini 값을 올바르게 설정하면 보안 검색을 통과해야합니다. –
webmin에서 php.ini를 보았지만 session.cookie_httponly와 같은 것이 없습니다. (버전 5.2는 괜찮습니까?) – user1406071