“安全”参数
问题描述:
我有兴趣了解更多关于功能session_set_cookie_params()的安全参数。“安全”参数
你能告诉我如何正确使用它吗?如果在一个不安全的页面上执行这个函数(但是在一个有SSL的服务器上),它会以某种方式安全地发送它,或者我必须在页面上强制SSL,这个函数是从我自己执行的?
答
这意味着客户端只会通过安全(HTTPS)连接发送该cookie。这意味着您必须将用户转发到安全的URL,以便将Cookie发送到服务器。
你可以通过一个不安全的连接来设置一个安全的cookie,尽管你显然不应该(否则cookie的值可能会被嗅探)。由于安全Cookie可以通过不安全的连接进行更改,因此您不能相信Cookie值未被拦截并将不安全HTTP请求的内容更改为您的站点的第三方破坏。因此,根据您使用安全Cookie的方式,您可能需要验证其内容。
即时通讯想知道如果即时通讯已经在一个安全的网页上,不会自动发送Cookie自动发送该参数是多余的? – chicane007 2010-08-09 16:04:18
@chicane不,因为用户可能被诱骗通过非安全连接访问您的网站,从而将cookie内容暴露给任何正在收听的人。 – Artefacto 2010-08-09 16:05:53