[請益] cookie的secure與HttpOnly設定問題 Peruheru PTT批踢踢實業坊

[請益] cookie的secure與HttpOnly設定問題

作者: Peruheru (還在想) 2015-12-21 15:27:13

大家好
維護的網站中有個網站是架在IIS7.5上的php5.3網站
網站中的cookie是session在使用的
而資安要求要將cookie設為secure與HttpOnly
想說可以的話盡量不要更改程式
所以我改了php.ini中關於這兩者的設定
session.cookie_secure = 1
session.cookie_httponly = 1
改完網站重新啟動後，開啟網站的頁面
從開發者工具查看header
有看到結果如下：
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
06:59:34 GMT; path=/; secure; HttpOnly
可是在按F5重新整理頁面後，header會像這樣：
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
07:00:17 GMT; path=/
也就是少掉了secure與HttpOnly標籤
從PHPSESSIONID可以看出這是同一個Session的cookie
請問這是正常現象嗎?cookie的這兩項設定只有在初次給予時要設定嗎?
還是說這是後來漏掉了我必須補上這兩項設定呢?
謝謝各位

繼續閱讀

[問題] 請問能用什麼其他PHP方式來執行cron job?banana2014 [請益] 怎麼備註管理PHP檔案rls0914 [問題] 請問為什麼我的程式無法起作用? (使用...banana2014 [請益] 博奕類網站套用 Yahoo 第三方登入問題chan15 Re: [請益] phpExcel開啟檔案時會占用網頁伺服器資源y2468101216 [請益] phpExcel開啟檔案時會占用網頁伺服器資源b95170088 [請益] curl_exec執行不停，求助!!!!cutepiyo [請益] composer 可以跳過版本檢查嗎knives [問題] 關於IMAP的問題…banana2014 [請益] socket和ajax資料接收以及sql的max()用法st1009