gpt4 book ai didi

.htaccess - 为 Apache httpd 中的每个 Set-Cookie 响应添加 Secure 和 httpOnly 标志

转载 作者:行者123 更新时间:2023-12-03 14:35:13 24 4
gpt4 key购买 nike

我正在运行 Apache 2.2.26:

Server version: Apache/2.2.26 (Unix)
Server built: Jan 17 2014 12:24:49
Cpanel::Easy::Apache v3.22.30 rev9999 +cloudlinux

我正在尝试使用 mod_headers 编辑 Set-Cookie header 并添加安全或 httpOnly 标志,但它根本不起作用(什么都不做,不会给出 HTTP 500 错误)。

我可以毫无问题地使用 Header 命令的“修改”“追加”指令,而不是编辑。我不知道为什么...

我尝试了很多组合,但这就是我的 .htaccess 中的内容:
Header edit Set-Cookie "(.)([Hh][Tt][Tt][Pp][Oo][Nn][Ll][Yy])?(.)" "$1$2 ;HTTPOnly"
Header edit Set-Cookie "(.)([Ss][Ee][Cc][Uu][Rr][Ee])?(.)" "$1$2 ;Secure"

我对任何会自动将标志添加到每个 Set-Cookie 响应的解决方案持开放态度,而无需在应用程序中编辑代码。我无权在 Web 服务器上安装其他项目,但 Web 服务器具有在大多数 Web 主机上找到的标准非常长的 Apache 模块列表。

最佳答案

六年后,我可能已经解决了这个问题。Header指令是 provided by mod_headers , 结构为 Header {condition} {action} {header name} {match} {replacement} .我没有看到任何人在其他答案中提出的关键是第一个变量 condition .condition可以是alwaysonsuccess ,根据上面链接中的描述,但是 -- 这就是为什么花了这么长时间才破解 -- always 实际上并不意味着“总是” :

always is not a superset of onsuccess with respect to existing headers


更具体地说,有两个标题表,称为“always”和“onsuccess”,给定的模块可以在其中一个或两个中放置一个值,并且两个表中的所有值都将写入响应中。
TL;DR:始终确保编辑两个表中的标题:
Header always edit Set-Cookie (.*) "$1; HTTPOnly"
Header onsuccess edit Set-Cookie (.*) "$1; HTTPOnly"

关于.htaccess - 为 Apache httpd 中的每个 Set-Cookie 响应添加 Secure 和 httpOnly 标志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24129201/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com