我的系统管理员进行了扫描,并告诉我应该为PHP会话激活secure参数(该站点使用HTTPS)。
我们发现人们也同时使用httpOnly,但这似乎有点矛盾。我该怎么办?同时激活还是仅激活secure?
设置这两个标志绝对是最佳实践。
安全意味着只有在使用https协议的情况下,客户端web浏览器才会将带有会话id的cookie发送回服务器。
HttpOnly意味着客户端浏览器将阻止从JavaScript访问cookie。它保护您的用户免受会话窃取(即,在您的网站上存在XSS漏洞的情况下)。
httponly与是否使用https无关(在大多数情况下)。。。是的,您应该同时启用这两种功能。看见https://www.owasp.org/index.php/HttpOnly有关httponly的更多信息。