Tra le tante accortezze che bisogna avere per mettere in sicurezza un’applicazione web, c’è quella di servire i cookies in modalità protetta.
Aggiungiamo quindi in /etc/apache2/conf-enabled/security.conf
1 2 | Header always edit Set-Cookie"(?i)^((?:(?!;\s?HttpOnly).)+)$""$1; HttpOnly" Header always edit Set-Cookie(.*)"$1; Secure" |
e poi riavviamo apache:
1 | service apache2 restart |
Per verificare che tutto funzioni, si può usare curl come segue:
1 | curl-Ihttp://www.sito_da_controllare.ext/index.php |
e verificare che la riga che inizia per Set-Cookie abbia anche le direttive HttpOnly; Secure:
1 | Set-Cookie:PHPSESSID=tt8m0iotkub2c916c1b14ut976;path=/;HttpOnly;Secure |
enjoy!
Ti interessa acquistare un dominio a prezzi ultraconvenienti? clicca qui
Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂
Commenta