NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案

已于 2023-06-25 23:41:35 修改
阅读量3k 收藏 4
点赞数
分类专栏: php thinkphp nginx 文章标签: php 开发语言
于 2023-06-25 23:40:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunsineq/article/details/131388042
版权
php 同时被 3 个专栏收录
47 篇文章 4 订阅
订阅专栏
thinkphp
47 篇文章 1 订阅
订阅专栏
nginx
12 篇文章 1 订阅
订阅专栏

NGINX & PHP Cookie 会话中 PHPSESSID 缺少 HTTPOnly、Secure 属性解决方案


1 / 说明
基于安全的考虑,需要给cookie加上Secure和HttpOnly属性,HttpOnly比较好理解,设置HttpOnly=true的cookie不能被js获取到,无法用document.cookie打出cookie的内容。Secure属性是说如果一个cookie被设置了Secure=true,那么这个cookie只能用https协议发送给服务器,用http协议是不发送的。
会话cookie中缺少Secure属性会导致攻击者可以通过非HTTPS页面窃取到用户的cookie信息,造成用户cookie信息的泄露。
cookie中的Secure指的是安全性。通过设定cookie中的Secure,可以指定cookie是否只能通过https协议访问。一般的cookie使用HTTP协议既可访问,如果启用Secure属性,则浏览器仅仅会在HTTPS请求中向服务端发送cookie内容。
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。

2 / PHP解决方案
PHP 5.6以后的版本:
① 简单粗暴直接修改php.ini文件
session.cookie_httponly=true
session.cookie_secure =
② 在php代码中使用ini_set函数设置
ini_set(“session.cookie_httponly”, 1);
(单一入口框架加载index.php 入口文件即可)

③在调用 session_start()之前调用 session_set_cookie_params()函数设置
如果是框架需要修改底层代码,老框架推荐前两个粗暴有效的方法。

<?php private function startSession($time = 3600, $ses = 'MYSES') { session_set_cookie_params($time); session_name($ses); session_start(); if (isset($_COOKIE[$ses])) #第五个参数 设置为true setcookie($ses, $_COOKIE[$ses], time() + $time, "/", true); } ?>

3 / Nginx解决方案
● cookie没有使用http-only;
● cookie没有携带secure属性;
● http头中需要配置“X-Frame-Options:SAMEORIGIN”;
以上这几点可以通过nginx的配置来轻松实现,具体方法就是在需要更改的网页server的配置里面添加下面几句话。

## 加载Nginx.conf 文件 http{ } 或 server{ }
add_header Set-Cookie “HttpOnly”;
add_header Set-Cookie “Secure”;
## 表示该页面可以在相同域名页面的 frame 中展示
add_header X-Frame-Options SAMEORIGIN;

 

————————————————
版权声明:本文为CSDN博主「Ba?cker」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/backerli/article/details/120465246

sunsineq
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB安全漏洞之Cookie缺少相关安全属性HttpOnlySecure)
Agonie_25的博客
05-17 1万+
漏洞说明 在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie缺少HttpOnly属性;2.Cookie缺少Secure属性HttpOnly属性 浏览器通过document对象获取CookieHttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
AppScan安全扫描:加密会话(SSL)Cookie缺少Secure、会话 cookie 缺少 HttpOnly 属性
爱兰河少
01-30 4254
1、创建拦截器,对请求进行拦截处理Cookie问题 因为涉及到登录,因此需要添加登录URL白单信息:xml配置cookieHttpOnlyNoUrl或修改bdUris对应的默认值 因为图片、css样式、js无需做cookie处理,因此需添加后缀白单信息:xml配置noSuffixs或修改suffixList对应的默认值 package cn.com.zwjp.framework.filte...
Web应用安全测试-防护功能缺失
最新发布
06-14 1300
Cookie属性问题、会话重用、会话失效时间过长等各种防护功能缺失的漏洞描述、渗透测试方法、风险分析、风险等级判定、修复建议等
nginx修复漏洞
Elaina_fang✨✨✨的博客
10-26 4538
【代码】nginx修复漏洞。
Cookie没有HTTP Only标志漏洞
waitle500的博客
01-26 2628
Cookie没有HTTP Only标志漏洞
php.ini配置文详解
m0_61248140的博客
03-17 1545
此指令描述了PHP注册GET, POST, Cookie, 环境 和 内置变量的顺序 (各自使用G, P, C, E 和 S , 一般使用 EGPCS 或 GPC). 注册使用从左往右的顺序, 新的值会覆盖旧的值.mysqli_connect()默认的端口号. 如果没有设置, mysql_connect() 会使用 $MYSQL_TCP_PORT。mysql_connect()默认的端口号. 如果没有设置, mysql_connect() 会使用 $MYSQL_TCP_PORT。
HAProxy-会话保持
鬼刺
03-14 1406
引言:原文链接http://www.mamicode.com/info-detail-1734969.html 任何一个七层的http负载均衡器,都应该具备一个功能:会话保持。会话保持是保证客户端对动态应用程序正确请求的基本要求。 还是那个被举烂了却最有说服力的例子:客户端A向服务端B请求将C商品加入它的账户购物车,加入成功后,服务端B会在某个缓存区域记录下客...
PHPphpini配置文件文翻译
allen的博客
11-14 627
[PHP] ;;;;;;;;;;;;;;;;;;;;;;; ; 关于 php.ini 配置文件 ; ;;;;;;;;;;;;;;;;;;;;;;; ; PHP 的初始化文件, 必须命名为 php.ini. ; 主要是用来负责PHP的配置. ; PHP 会尝试通过一些地址来寻找和加载配置. ; 比如有以下几种方式依次查找该文件: ; 1. SAPI . ; 2. 环境变量 PHPRC . (A...
session详解--以php为例
S_ZaiJiangHu的博客
05-14 4767
原理 本质是保存对话信息,给客户端一个唯一标识,然后在服务端存储相应的数据。 最简单的demo 1分配id session_start();//使用这个函数 会为对话生成一个默认的标识id 这是我们访问对应的接口,并且打开控制台网络,可以在响应头看到: Set-Cookie: PHPSESSID=q10mlsnd8ve2393vstrc3qrjoq; path=/ 此时,php只是给客户端默认分配了一个phpsession的唯一标识,服务端是没有存储这个的。(redis方式没存 文件存储方式还没验证)
cookie设置httpOnlysecure属性实现及问题
01-03
该文档整合了cookiehttponlysecure的简介,已经设置该属性时会遇到的问题,以及设置属性的方式
利用nginx解决cookie跨域访问的方法
01-20
最近需要把阿里云上的四台服务器的项目迁移到客户提供的新的项目,原来的四台服务器用到了一级域名和二级域名。比如aaa.abc.com 和bbb.abc.com 和ccc.abc.com。其aaa.abc.com登录,通过把cookie的信息...
总结Nginx 的使用过程遇到的问题及解决方案
01-10
在启动 Nginx 的时候,有时候会遇到这样的一个错误: ... 解决办法就是在配置文件新增以下配置项: 代码如下: proxy_headers_hash_max_size 51200; proxy_headers_hash_bucket_size 6400;  这两个配置项的 size
nginx && php-fpm 启动脚本
10-11
Windows 下使用 RunHiddenConsole 启动 nginxphp-fpm, https://www.nginx.com/resources/wiki/start/topics/examples/phpfastcgionwindows/
nginx && php-fpm 停止脚本
10-11
Windows 下使用 RunHiddenConsole 启动 nginxphp-fpm, https://www.nginx.com/resources/wiki/start/topics/examples/phpfastcgionwindows/
网页提示504 gateway time-out是什么意思?如何解决?
热门推荐
sunsineq的专栏
02-06 9万+
大家在访问网站的时候通常会遇到502错误、404错误等,很少会遇到504错误。但是在我们去访问大流量或者内容数据量较多的网站时,打开网页偶尔就会出现504 gateway time-out,这到底是什么意思?网页出现这种情况又该如何解决呢? 首先,大家对于504 Gateway Time-out的字面意思可以理解为网页请求超时,这是我们在浏览网站网页时发出的请求没有响应,从网站程序层面来讲,是请求未能够执行相应的PHP-CGI程序,或者PHP-CGI程序未能做出相应的处理,又或者是CGI程序的响应处理
nginx配置ssl时提示nginx: configuration file /www/server/nginx/conf/nginx.conf test failed
sunsineq的专栏
04-21 5364
nginx在配置ssl时提示以下信息 nginx: [warn] duplicate value "TLSv1.1" in /www/server/panel/vhost/nginx/xxxxxxxxxxx.com.conf:42 nginx: [warn] duplicate value "TLSv1.2" in /www/server/panel/vhost/nginx/xxxxxxxxxxx.com.conf:42 nginx: [warn] duplicate value "TLSv1.3" in
php7的php-fpm.conf文件在哪里
sunsineq的专栏
02-06 2311
php-fpm.conf是php-fpm进程管理器的配置文件。 文件路径:/usr/local/php-fpm/etc/php-fpm.conf 一般是在php的安装目录下的etc目录。 我的默认的配置文件如下 #全局配置 [global] #pid设置,pid进程文件存放的路径 pid = /usr/local/php/var/run/php-fpm.pid #错误日志存放路径 error_log = /usr/local/php/var/log/php-fpm.log #错误级别。默认: ...
nginx 加密会话(ssl)cookie 缺少 secure 属性
07-16
nginx,加密会话(ssl)cookie缺少secure属性secure属性是一个标记,用于确保cookie只能在通过HTTPS安全连接时传输。 缺少secure属性可能会导致安全风险。当缺少secure属性时,如果HTTP请求使用非加密的连接发送,那么cookie也会以明文形式传输,容易受到恶意攻击者的窃取或篡改。因此,为了保护敏感信息的安全性,应该始终向ssl会话cookie添加secure属性。 要在nginx添加secure属性,可以通过以下方式进行配置: 1. 打开nginx配置文件。 2. 找到相关的server或location块,这里设置了ssl参数。 3. 在该块内找到包含proxy_cookie_path或proxy_cookie_domain的语句。 4. 在语句添加"secure"属性,例如,proxy_cookie_path / "/; secure"。 5. 保存配置文件并重新加载nginx服务。 以上步骤将会使nginx服务器向客户端发送一个包含secure属性的加密会话cookie。这样,当使用非加密的HTTP协议发送请求时,浏览器将不会发送该cookie,保护了加密会话的安全性。 总之,通过为加密会话cookie添加secure属性,可以有效地提高安全性,并避免受到潜在的攻击威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值