web-dev-qa-db-ja.com

安全なCookieの設定

Drupal 7サイトのQualysをスキャンすると、問題が発生します

150122 Cookieに「セキュア」属性が含まれていない

Secure vs HTTPOnlyフラグを体系的にCookieに追加する方法はありますか? Secure Cookie Data これを提供しますか?もしそうなら、クッキーが安全であることをどのようにテストしますか?

さらに、このサイトは自動的にhttpsに転送します。ユーザーはポート80で時間を費やさず、代わりに直接443にシャトルします。このテストに合格したことを確認する以外に何も望まない管理者がいます。以前の事実に関係なく。

問題のCookie:

has_js=1

enter image description here

次のsettings.phpで十分でしょうか?

ini_set('session.cookie_secure', 1);
ini_set('session.cookie_httponly', 1);
4
Rick

Apacheにこれを行うように指示できるようです:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

enter image description here

2
Rick

これはどのクッキーですか? Drupal 8のCookieはすべて安全です。

例外はBigPipeの非JS Cookieです。 https://www.drupal.org/node/2678628 を参照してください—ただし、セキュリティ上の影響はありません。

それがこのアラートをトリガーしているものである場合、問題は明らかです。セキュリティテストツールが意味のない包括的なステートメントを作成しています。

2
Wim Leers