Zend Framework, Sessions und HttpOnly ___ tag123php ___ PHP ist eine weit verbreitete, dynamische, objektorientierte und interpretierte Skriptsprache, die primär für die serverseitige Webentwicklung entwickelt wurde. ___ answer11936039 ___

Fügen Sie dies Ihrer application.ini-Datei hinzu.

%Vor%     

___ tag123zendframework ___ Zend Framework ist ein Open-Source, objektorientiertes Web Application Framework, implementiert in PHP 7.1 und lizensiert unter der New BSD License. Zend Framework-Anwendungen können auf jedem PHP-Stack ausgeführt werden, der die technischen Anforderungen erfüllt. ___ answer4462719 ___

Probieren Sie Bootstrap aus, um %code% (irgendwo vor der ersten Initialisierung der Sitzung) auszuführen, aber es sollte auch mit der Datei app.ini funktionieren.

    

___ qstntxt ___

Ich möchte mein Session-Cookie %code% erstellen. Basierend auf diesem Artikel , fügte ich hinzu das zu meinem %code% :

%Vor%

Wenn ich mir das Session-Cookie in Firecookie ansehe, ist es leider nicht markiert als %code% wie ich angegeben habe. Welchen Schritt vermisse ich?

    

___ answer16250948 ___

Damit dies zu 100% sicher ist.

Der Server sollte die Option http trace nicht zulassen. Der HTTP-Options-Trace meldet die Sitzungs-ID. Wenn ein Angreifer ein Java-Applet, Flash oder JavaScript mit Ajax injizieren kann, kann der Angreifer auch mit der eingestellten httponly-Flagge Cookies stehlen ...

    

___ tag123session ___ Eine Sitzung bezieht sich auf alle Anforderungen, die ein einzelner Client an einen Server stellt. Eine Sitzung ist spezifisch für den Benutzer und für jeden Benutzer wird eine neue Sitzung erstellt, um alle Anfragen von diesem Benutzer zu verfolgen. ___ tag123httponly ___ HttpOnly ist ein Flag im Cookie-Header, um Daten aus JavaScript auszublenden ___