2007/10/30 火曜日

httponly

Filed under: security, php — admin @ 19:22:43

PHP 5.2からクッキーのhttp onlyフラグがサポートされる

httponlyはcookie header中にhttponlyフラグをつけて送るとjavascriptからcookieが
取得できないというマイクロソフトの提唱する方法

setcookie関数と
setrawcookie関数の
7番目の引数を拡張し、ここをtrueにすることによってセットできる。

セッションのcookieもhttponlyにしたい場合
php.iniの設定にあるsession.cookie_httponlyをOn
session_set_cookie_params関数の5番目の引数をtrueにする。

これでXSSを完全に防げるわけではなく、かつブラウザによってはクッキーが
正常に処理されなくなったりするので、現時点ではメモ程度

関連

No Tags

コメント (0) »

この記事にはまだコメントがついていません。

コメント RSS トラックバック URL

コメントをどうぞ

You must be logged in to post a comment.