すべてのCookieを安全でhttpのみに変更します。 1つのCookieに対しては正常に機能しますが、複数のCookieが応答に設定されている場合は機能しません。
Apache mod_headerルールはCookieを次のように変更する必要があります:
_Set-Cookie cookie1=value; Path=/somePath
_
Set-Cookie cookie2=value; Path=/somePath
に
_Set-Cookie cookie1=value; Path=/somePath; Secure; Http-Only
_
Set-Cookie cookie2=value; Path=/somePath; Secure; Http-Only
私は次のルールでmod_headersを使用しています:
Header edit Set-Cookie ^(.*)$ $1;Secure;HttpOnly
Cookieが1つだけ設定されている場合は正常に機能しますが、複数ある場合は、以下のすべてが削除されるだけで、Cookieはまったく設定されません。
複数の値のmod_headersルールを作成する方法を教えてください。または問題は何か他にありますか?
このルールはApache 2.2.3で機能します
Header set Set-Cookie HttpOnly;Secure
答えを見つけました。サーバーにインストールされているApacheのバージョンに問題があります。編集コマンドはバージョン2.2.4からサポートされていますが、バージョンは2.2.3です(RHEL 5+のデフォルト)。だから私はhttpdをアップグレードし、すべてがうまくいきます。
RHELまたはCentOSでのhttpdのアップグレードの詳細については、以下を参照してください。
http://www.jasonlitka.com/2007/01/17/upgrading-to-httpd-224-on-rhel-centos-4/