| « 今日の驚き! | Firefox 2.0 ではおかしなクッキーの動作が一部だけ直っている模様 » |
httpOnlyをFirefoxで
リンク: https://addons.mozilla.org/firefox/3629/
PHP 5.2.0のsetcookie/setrawcookie関数からhttpOnly属性をクッキーにつける事ができるようになりました。httpOnly属性はMicrosoftが独自に拡張した仕様で、JavaScriptからクッキーの値を使用できなくする機能です。httpsでのみクッキーを送信するsecure属性に似ています。
Microsoftの独自拡張なのでIEでは利用できましたがFirefoxでは利用できません。しかし、アドオンを使用することでhttpOnly属性をFirefoxでも利用できるようです。
httpOnly
by Stefan EsserAdds httpOnly cookie support to Firefox by encrypting cookies marked as httpOnly on the browser side, so that JavaScript cannot read them.
Hardened PHP ProjectのSfefanさんが作者です。
XSSで自分のセッションを盗まれるリスクが低減できるのでお勧めのアドオンだと思います。
このエントリがポストされているのは 11月 9th, 2006 11:12:36 and is filed under Security, PHP, Webシステム開発
永続的リンク
1 コメント
header()を使えば自由にSet-Cookie:ヘッダを送信できるのでPHP 5.2.0未満のPHPでもhttpOnly属性を付けたクッキーを送信可能です。
PHP 5.2.0からsession.cookie_httponly設定が追加されています。1に設定するとhttponly属性がセッションIDのクッキーに設定されます。PHP 5.2.0からsession_set_cookie_params()関数にもhttponly属性が追加されています。
PHP 5.2.0からsession.cookie_httponly設定が追加されています。1に設定するとhttponly属性がセッションIDのクッキーに設定されます。PHP 5.2.0からsession_set_cookie_params()関数にもhttponly属性が追加されています。
2006/11/09 @ 11:18
この投稿へのコメント