Установка безопасных файлов cookie
При сканировании сайта Drupal 7 с помощью Qualys мы получаем проблему
Файл Cookie 150122 Не Содержит Атрибута "безопасный"
Есть ли способ систематически добавлять флаг Secure vs HttpOnly в файлы cookie? Будут ли Защищенные данные файлов cookie служить этому? Если да, то как мне проверить безопасность файлов cookie?
Более того, этот сайт автоматически переходит на https. Пользователь не тратит время на порт 80, а вместо этого напрямую переключается на 443. У нас есть администратор, который ничего не хочет, кроме того, чтобы этот тест был пройден, независимо от предыдущего факта.
Файл Cookie, о котором идет речь:
has_js=1
Будет ли следующее в settings.php будет достаточно:
ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
2 answers
Что это за файл cookie? Все файлы cookie Drupal 8 защищены.
Исключением является файл cookie BigPipe без JS, см. https://www.drupal.org/node/2678628 - но там нет никаких последствий для безопасности.
Если это тот, который вызывает это предупреждение, то проблема ясна: ваш инструмент тестирования безопасности делает общие заявления, которые не имеют смысла.
Похоже, я могу сказать Apache, чтобы он сделал это за меня:
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
