मैं अपना सत्र कुकी HttpOnly
बनाना चाहता हूं। this article के आधार पर, मैं अपने application.ini
को यह कहा:ज़ेंड फ्रेमवर्क, सत्र, और एचटीपी केवल
resources.session.cookie_httponly = true
दुर्भाग्य से, जब मैं Firecookie में सत्र कुकी को देखो, यह HttpOnly
के रूप में चिह्नित के रूप में मैं निर्दिष्ट किया है नहीं है। मुझे क्या कदम याद आ रहा है? बूटस्ट्रैप पर
"जब मैं फायरकुकी में सत्र कुकी को देखता हूं, तो इसे केवल एचटीपी के रूप में चिह्नित नहीं किया जाता है "--- वास्तव में कुकी को कैसे चिह्नित किया जाना चाहिए? आप वहां क्या देखने की उम्मीद करते थे? – zerkms
'HttpOnly' ** ** एक्सएसएस से बचाने के लिए एक कदम है: http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html – Sonny
@ सोनी: यह एक कदम है कुकीज अपहरण के खिलाफ सुरक्षा, xss नहीं। एक्सएसएस कुकीज़ भेजने का एक तरीका है, और 'HttpOnly' वह विकल्प है जो आपको जेएस से कुकीज़ पढ़ने की अनुमति नहीं देता है। इसलिए यह कुकी को जेएस में पढ़ने से बचाता है। एक्सएसएस और 'एचटीपीओएनआई' के बीच कोई संबंध नहीं है। – zerkms