Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから
公開日:2013年3月1日

PHP のセッション ID に HttpOnly 属性と secure 属性を付与する

PHP のセッション ID は、デフォルトでは HttpOnly 属性と secure 属性の両方とも付与されていません。

これを /etc/php.ini で以下のように指定することで、HttpOnly 属性と secure 属性を付与することができます。項目は php.ini に既に記述されているので設定を書き換えてください。

session.cookie_secure = On
session.cookie_httponly = On

設定が終了したら、Apache を再起動します。

# service httpd restart

設定後、セッションを扱う PHP のページのレスポンスヘッダーは以下のようになったので問題なく設定できていることが分かります。

HTTP/1.1 200 OK
Date: Thu, 28 Feb 2013 18:56:43 GMT
Server: Apache
X-Frame-Options: DENY
Set-Cookie: PHPSESSID=f0at6d30j0u9arj3psc035b5g7; path=/; secure; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Length: 65
Connection: close
Content-Type: text/html; charset=UTF-8


スポンサーリンク





カテゴリー:PHP

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA