chybí HTTPOnly a Secure příznaky ke cookies

před 4 lety
Allconius
Člen | 317
+
0
-

Ahoj,

po penetračních testech mi bylo u aplikace doporučeno aby si zapnul HTTPOnly a doplnil secure příznaky ke cookies. To HTTPOnly jsem našel že stačí přidat do .htaccess:

<?php
<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule>
?>

takže stačí když to přidám do /aplikace/www/.htaccess ? nebo se to dá řešit i:

<?php
ini_set( 'session.cookie_httponly', 1 );
?>

ale to nevím kam bych to dal do Bootstrap.php ? Nebo se to dá řešit nějak nastavením v konfigu ? A co znamená „chybí secure příznaky ke cookies“ a jak to mám nastavit ?

před 4 lety
Allconius
Člen | 317
+
0
-

tak je to jen toto:

<?php
ini_set( 'session.cookie_httponly', 1 );
ini_set( 'session.cookie_secure', 1);
?>

takze teroreticky by stacilo jen zapnout v php.ini