PHP のセッション ID は、デフォルトでは HttpOnly 属性と secure 属性の両方とも付与されていません。
これを /etc/php.ini で以下のように指定することで、HttpOnly 属性と secure 属性を付与することができます。項目は php.ini に既に記述されているので設定を書き換えてください。
session.cookie_secure = On session.cookie_httponly = On
設定が終了したら、Apache を再起動します。
# service httpd restart
設定後、セッションを扱う PHP のページのレスポンスヘッダーは以下のようになったので問題なく設定できていることが分かります。
HTTP/1.1 200 OK Date: Thu, 28 Feb 2013 18:56:43 GMT Server: Apache X-Frame-Options: DENY Set-Cookie: PHPSESSID=f0at6d30j0u9arj3psc035b5g7; path=/; secure; HttpOnly Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 Pragma: no-cache Content-Length: 65 Connection: close Content-Type: text/html; charset=UTF-8
コメント