php document.cookie,PHP cookie缺少secure属性解决方案

最新推荐文章于 2025-03-19 16:18:31 发布

weixin_39595487

最新推荐文章于 2025-03-19 16:18:31 发布

阅读量1.3k

点赞数

文章标签： php document.cookie

0x01 cookie 安全

基于安全的考虑，需要给cookie加上Secure和HttpOnly属性，HttpOnly比较好理解，设置HttpOnly=true的cookie不能被js获取到，无法用document.cookie打出cookie的内容。

Secure属性是说如果一个cookie被设置了Secure=true，那么这个cookie只能用https协议发送给服务器，用http协议是不发送的。换句话说，cookie是在https的情况下创建的，而且他的Secure=true，那么之后你一直用https访问其他的页面(比如登录之后点击其他子页面)，cookie会被发送到服务器，你无需重新登录就可以跳转到其他页面。但是如果这是你把url改成http协议访问其他页面，你就需要重新登录了，因为这个cookie不能在http协议中发送。

0x02 怎么做?

先了解下setcookie函数

setcookie

(PHP 4, PHP 5, PHP 7)

setcookie — 发送 Cookie

说明

bool setcookie ( string $name [, string $value = "" [, int $expire = 0 [, string $path = "" [, string $domain = "" [, bool $secure = false [, bool $httponly = false ]]]]]] )

setcookie() 定义了 Cookie，会和剩下的 HTTP 头一起发送给客户端。和其他 HTTP 头一样，必须在脚本产生任意输出之前发送 Cookie(由于协议的限制)。请在产生任何输出之前(包括和

或者空格)调用本函数。

一旦设置 Cookie 后，下次打开页面时可以使用 $_COOKIE 读取。 Cookie 值同样也存在于 $_REQUEST。

参数

» RFC 6265 提供了 setcookie() 每个参数的参考标准。

name Cookie 名称。

value Cookie 值。这个值储存于用户的电脑里，请勿储存敏感信息。比如 name 是 'cookiename'，可通过 $_COOKIE['cookiename'] 获取它的值。

expire Cookie 的过期时间。这是个 Unix 时间戳，即 Unix 纪元以来(格林威治时间 1970 年 1 月 1 日 00:00:00)的秒数。也就是说，基本可以用 time() 函数的结果加上希望过期的秒数。或者也可以用 mktime()。time()+60602430* 就是设置 Cookie 30 天后过期。如果设置成零，或者忽略参数， Cookie 会在会话结束时过期(也就是关掉浏览器时)。

path Cookie 有效的服务器路径。设置成 '/' 时，Cookie 对整个域名 domain 有效。如果设置成 '/foo/'， Cookie 仅仅对 domain 中 /foo/ 目录及其子目录有效(比如 /foo/bar/)。默认值是设置 Cookie 时的当前目录。

domain Cookie 的有效域名/子域名。设置成子域名(例如 w2.www.example.com)。要让 Cookie 对整个域名有效(包括它的全部子域名)，只要设置成域名就可以了(这个例子里是 'example.com')。

旧版浏览器仍然在使用废弃的 » RFC 2109，需要一个前置的点 . 来匹配所有子域名。

secure 设置这个 Cookie 是否仅仅通过安全的 HTTPS 连接传给客户端。设置成 TRUE 时，只有安全连接存在时才会设置 Cookie。如果是在服务器端处理这个需求，程序员需要仅仅在安全连接上发送此类 Cookie (通过 $_SERVER["HTTPS"]判断)。

httponly 设置成 TRUE，Cookie 仅可通过 HTTP 协议访问。这意思就是 Cookie 无法通过类似 JavaScript 这样的脚本语言访问。要有效减少 XSS 攻击时的身份窃取行为，可建议用此设置(虽然不是所有浏览器都支持)，不过这个说法经常有争议。 PHP 5.2.0 中添加。 TRUE 或 FALSE

返回值

如果在调用本函数以前就产生了输出，setcookie() 会调用失败并返回 FALSE。如果 setcookie() 成功运行，返回 TRUE。当然，它的意思并非用户是否已接受 Cookie。

1. 设置secure

可以看到,只要在setcookie第六个参数设置为true,就可以了

2. 设置httponly

在5.1和之前的版本在header设置

header("Set-Cookie: hidden=value; httpOnly");

在5.2和更高的版本

Cookie 参数可以在 php.ini文件中定义

如果需要设置有几个选择

1. 修改php全局配置

#1) 直接修改php.ini文件

session.cookie_httponly=true

#2) 此配置可以在php代码中使用`ini_set`函数设置

ini_set("session.cookie_httponly", 1);

#3)，在调用 session_start()之前调用 session_set_cookie_params()函数设置

private function startSession($time = 3600, $ses = 'MYSES') {

session_set_cookie_params($time);

session_name($ses);

session_start();

if (isset($_COOKIE[$ses]))

#第五个参数设置为true

setcookie($ses, $_COOKIE[$ses], time() + $time, "/", true);

}

session_set_cookie_params()函数session_start() 函数

2. 在设置cookie时直接指定httponly

前面介绍在setcookie函数第7个参数httponly设置为true即可.

0x03注意事项

setcookie的httponly参数在5.2.0版本开始才有