【Apache】CookieにHttpOnly属性とSecure属性を付与する

Tweet

Category apache, develop 2019/08/01

問題

古いWebシステムでセッションCookieにHttpOnly属性とSecure属性がついていません！

あまりよろしくない状態ですが、プログラムで対応する以外の方法はないですか？

答え

Apacheにヘッダをいじってもらう場合、

httpd.conf か .htaccess に、以下を追記する。

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

Apacheのバージョンが古いと edit ができないという情報があったが未確認。

例）

HttpOnly属性などがついていなかったのが

Set-Cookie: PHPSESSID=6e2c6b8a88e03b73fdcbb796911f2ef8; path=/

つくようになった

Set-Cookie: PHPSESSID=e13434d5ad945ce8d0c6f38117a20c86; path=/;HttpOnly;Secure