我使用的PHP HTTPS和有幾個安全問題:HTTPS會話cookie,並張貼安全使用PHP
+我看到這個鏈接:
"secure" parameter in session_set_cookie_params
這是否意味着,即使安全標誌是用cookie設置的,它只允許客戶端將它傳遞給https地址?如果cookie包含session_id,我應該在從服務器發送之前對其進行加密,然後在接收時解密它?
+當我從https頁面登錄到https地址時,firefox會在POST數據中顯示純文本密碼。這是安全風險嗎?我也可以在沒有安全風險的情況下將表單放在常規的http頁面上嗎?
更新:我想要做的是防止會話劫持。我應該不是通過http發送任何包含session_ids的cookie嗎?這是我正在開發的kohana腳本,它似乎即使未登錄也會啓動會話。我正在考慮在session_start()之前檢查https。
Firefox在帖子數據中顯示明文密碼的位置在哪裏?您是否有擴展程序向您顯示已發佈的數據? – Canuteson
php manual states,'secure'指示如果您的操作使用的是https,則只應通過來自客戶端 – david
的安全HTTPS連接傳輸Cookie,然後將其加密發送(如果不是,則清除) – david