SOFTELメモ Developer's blog

会社概要 ブログ 調査依頼 採用情報 ...
技術者募集中

【Apache】CookieにHttpOnly属性とSecure属性を付与する

問題

古いWebシステムでセッションCookieにHttpOnly属性とSecure属性がついていません!

あまりよろしくない状態ですが、プログラムで対応する以外の方法はないですか?

答え

Apacheにヘッダをいじってもらう場合、

httpd.conf か .htaccess に、以下を追記する。

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Apacheのバージョンが古いと edit ができないという情報があったが未確認。

例)

HttpOnly属性などがついていなかったのが

Set-Cookie: PHPSESSID=6e2c6b8a88e03b73fdcbb796911f2ef8; path=/

つくようになった

Set-Cookie: PHPSESSID=e13434d5ad945ce8d0c6f38117a20c86; path=/;HttpOnly;Secure

関連するメモ

コメント