ソーシャルネットワークサイトに手動でクッキーを1つだけ設定しましたが、PHPセッションに大きく依存しています。セッションで何かのクッキーが設定されているのだろうか?PHPセッションでCookieが設定されていますか?
私はちょうどHttpOnlyクッキーを読んでいました。私はそれらを使用できるかどうかを判断しようとしています。
ソーシャルネットワークサイトに手動でクッキーを1つだけ設定しましたが、PHPセッションに大きく依存しています。セッションで何かのクッキーが設定されているのだろうか?PHPセッションでCookieが設定されていますか?
私はちょうどHttpOnlyクッキーを読んでいました。私はそれらを使用できるかどうかを判断しようとしています。
PHPセッションでは、設定方法に応じてCookieを使用できます。これらの設定を見てください:
session.use_cookies
(ブール値):モジュールがクライアント側でセッションIDを保存するためにクッキーを使用するかどうかを指定します。デフォルトは1(有効)です。session.use_only_cookies
(ブール値):モジュールがクッキーを使用してセッションIDをクライアント側に保存するかどうかを指定します。この設定を有効にすると、セッションIDをURLに渡す攻撃が防止されます。この設定はPHP 4.3.0で追加されました。 PHP 5.3.0以降、デフォルトは1(有効)です。セッションCookieを無効にすると、代わりにGETパラメータが使用されます。
PHPセッションではセッションIDを取得および設定するためにHTTPを使用し、セッションを保存するファイルシステムを使用します。実際にsetcookie()を使用して作成しない限り、クッキーは使用されません。
ジェイミー
を参照してください。 このように動作するようにPHPを設定することはできます。 – gnud
はい。 PHPセッションは、セッションキーを含むCookieに依存しています。セッションデータはサーバーにのみ保存されますが、各セッションに一意のIDが割り当てられ、そのIDはCookieに保存されます。
セッションクッキーと従来のクッキーとの間には、どのような関係がありますか?HttpOnly
?
また、HttpOnly
は、すべてのブラウザでサポートされているわけではありません。
セッションIDを保存するPHPSSIDというCookieがあります。
HttpOnly Cookieについては、http://ilia.ws/archives/121-httpOnly-cookie-flag-support-in-PHP-5.2.html
HttpOnlyはIE 6.0 SP1とFirefox 2.0以降でサポートされています –
私はちょっとこれが起こったと思ったが、今私は知っている、ありがとう。私のシステムは、セッションidを保存するためにcookieメソッドを使用します。このクッキーは安全ですか? – JasonDavis
「安全な」とはどういう意味ですか? Cookieメソッドは、URLにセッションIDを渡すよりも安全です。ただし、これは100%安全であるとは限りません。たとえば、WebサイトがXSSに対して脆弱である場合、攻撃者がセッションCookieを盗む可能性があります。 –