Hatena::ブログ(Diary)

覇王色を求めて

2008-02-29

sessionを使う時はHttpOnlyを指定しよう

| 02:06 | sessionを使う時はHttpOnlyを指定しようを含むブックマーク

正確にはcookieを使う際には、HttpOnlyを指定しよう。

php 5.2.0よりsetcookieにhttponly引数が追加されています。

CookieのHttpOnlyについては以下参照

HttpCookie.HttpOnly プロパティ (System.Web)

同じくPHP 5.2.0よりSessionでもこれが可能になっています。

以下参照。

クッキーに対して、HTTP を通してのみアクセスできるようにします。 つまり、JavaScript のようなスクリプト言語からはアクセスできなくなるということです。 この設定を使用すると、XSS 攻撃によって ID を盗まれる危険性を減らせます (が、すべてのブラウザがこの設定をサポートしているというわけではありません)。

PHP セッション

XSSできなきゃいんじゃね?とは思うが、セキュリティには念には念を入れといた方がいい。

セッションを使用する前には、必ず以下の様に設定しておきましょう。

<?php
ini_set('session.cookie_httponly', true);
?>
トラックバック - http://d.hatena.ne.jp/ryster/20080229/1204304780