[英]How Can I Force HttpOnly FALSE On Cookies So JavaScript Can Read Them With PHP Cross-Domain?
我不需要X.com上高度混杂的cookie,因为安全性不是问题。 如何在域X.com中制作的Cookie上强制HttpOnly为false,以便AnyRandomUnexpectedDomain.com上的JavaScript可以调用X.com/readCookie.php,而readCookie.php可以将X.com cookie中的数据发送回去?
readCookie.php具有标头(“ Access-Control-Allow-Origin:*”),nginx Web服务器也具有完全打开的Access-Control-Allow-Origin。 在php.ini中,session.cookie_httponly = 0,但这当然仅用于会话,而不是永久性cookie。 使用此设置,远程执行调用和AJAX数据流跨域工作正常,但是唯一的问题是添加到readCookie.php的$ _COOKIE [“ auth”]调用不返回任何内容,即使使用HttpOnly显式创建了auth cookie设置为FALSE,如下所示:
setcookie("auth",$secret,time()+3600*24*365,"/",null,false,false);
代码,Web服务器,PHP等中还需要什么,以便$ _COOKIE [“ auth”]将X.com cookie的值返回给AnyRandomUnexpectedDomain.com?
我使用session_set_cookie_params设置cookie。 这是我使用的代码。
$session_name = 'somesessionname';
$secure = false; //for https
$httponly = false; //as per use in javascript
if (ini_set('session.use_only_cookies', 1) === FALSE) {
//err=Could not initiate a safe session
exit();
}
$cookieParams = session_get_cookie_params();
session_set_cookie_params($cookieParams["lifetime"],
$cookieParams["path"],
$cookieParams["domain"],
$secure, $httponly);
session_name($session_name);
session_start();
如何使用 Javascript 在浏览器中读取 httponly 和安全 cookie?
[英]How can I read httponly and secure cookies in the browser with Javascript?
如何设计一个允许跨域脚本安全的JavaScript API?
[英]How can I design a javascript API that allows for cross-domain scripting securely?
PHP驱动的API如何验证真正的客户端(referer)跨域(知道标头可以被欺骗)?
[英]How can PHP driven API authenticate genuine client (referer) cross-domain (knowing that headers can be spoofed)?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.