Tra le tante accortezze che bisogna avere per mettere in sicurezza un’applicazione web, c’è quella di servire i cookies in modalità protetta.
Aggiungiamo quindi in /etc/apache2/conf-enabled/security.conf
|
1 2 |
Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly" Header always edit Set-Cookie (.*) "$1; Secure" |
e poi riavviamo apache:
|
1 |
service apache2 restart |
Per verificare che tutto funzioni, si può usare curl come segue:
|
1 |
curl -I http://www.sito_da_controllare.ext/index.php |
e verificare che la riga che inizia per Set-Cookie abbia anche le direttive HttpOnly; Secure:
|
1 |
Set-Cookie: PHPSESSID=tt8m0iotkub2c916c1b14ut976; path=/; HttpOnly; Secure |
enjoy!
Ti interessa acquistare un dominio a prezzi ultraconvenienti? clicca qui
Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂
Commenta