我使用HTTPS登录.据我所知,PHP的会话数据永远不会发送给用户,而是存储在服务器端.客户端仅获取会话的ID.会话数据保存实际的webapp用户会话,而后者又用于检查登录是否有效.一切都很好,花花公子.
但是,有一个我在任何地方都找不到的细节.我想知道如果我使用HTTPS,包含PHP会话ID的cookie是否会自动标记为安全.我做了一些谷歌搜索,但似乎从来没有得到正确的搜索字符串,因为我只找到手动发送cookie的方法.我想知道,因为如果该cookie被发送为明文,它将通过中间人来破坏一些安全性.
编辑1
这是@ircmaxell的补充
我尝试了你的方法但是当我从HTTPS切换回HTTP时,我仍然得到了cookie.它的工作方式如下.只要服务器知道用户会话可用,它就会设置安全标志.这意味着整个站点在您登录后立即在SSL上运行,并且在您不使用SSL时拒绝放弃/使用cookie.或者至少,这就是想法.
if ($SysKey['user']['session_id'] != '') {
session_set_cookie_params(60*60*24*7,'/',$SysKey['server']['site'],true,true);
}
我假设我需要重新生成id,因为浏览器在登录之前已经有了cookie但是因为我只能在几个小时内试用它,所以在尝试之前我会问
解决方案说明
我刚刚发现你必须在开始会话之前设置这些设置.那是我的问题.我现在使用2个不同的cookie.一个用于通过http发送的常规访客,另一个用于仅通过ssl发送的登录用户.
session_set_cookie_params(...).它允许您设置安全cookie标志,使其仅为https.
您可以通过以下方式查询:session_get_cookie_params()
原文地址:https://www.jb51.cc/php/135855.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
