Tra le tante accortezze che bisogna avere per mettere in sicurezza un’applicazione web, c’è quella di servire i cookies in modalità protetta. Aggiungiamo quindi in /etc/apache2/conf-enabled/security.conf
1 2 |
Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly" Header always edit Set-Cookie (.*) "$1; Secure" |
e poi riavviamo apache:
1 |
service apache2 restart |
Per verificare che tutto funzioni, si può usare…