[請益] cookie的secure與HttpOnly設定問題

作者: Peruheru (還在想)   2015-12-21 15:27:13
大家好
維護的網站中有個網站是架在IIS7.5上的php5.3網站
網站中的cookie是session在使用的
而資安要求要將cookie設為secure與HttpOnly
想說可以的話盡量不要更改程式
所以我改了php.ini中關於這兩者的設定
session.cookie_secure = 1
session.cookie_httponly = 1
改完網站重新啟動後,開啟網站的頁面
從開發者工具查看header
有看到結果如下:
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
06:59:34 GMT; path=/; secure; HttpOnly
可是在按F5重新整理頁面後,header會像這樣:
Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015
07:00:17 GMT; path=/
也就是少掉了secure與HttpOnly標籤
從PHPSESSIONID可以看出這是同一個Session的cookie
請問這是正常現象嗎?cookie的這兩項設定只有在初次給予時要設定嗎?
還是說這是後來漏掉了我必須補上這兩項設定呢?
謝謝各位

Links booklink

Contact Us: admin [ a t ] ucptt.com