我的网站在 Apache 上,托管在 AWS VPS 上。
我尝试通过编辑 security.conf 文件来设置 http-only 标志和安全标志,但在通过以下方式检查标头时https://hackertarget.com/http-header-check/ 我发现没有变化,并且 cookie 仍然没有这些标志。
我遵循以下步骤:
确保在 Apache HTTP 服务器中启用了 mod_headers.so
添加以下条目/etc/apache2/conf-enabled/security.conf
标头编辑 Set-Cookie ^(.*)$ $1;HttpOnly;Secure
重新启动 Apache HTTP 服务器进行测试
谁能帮我吗?
答案1
尝试设置“”中的最后一部分,就像我在这里所做的那样:
Header edit Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"
之后尝试使用以下方法进行 apache 语法检查:
apachectl -t
对于标头安全性来说非常好的测试是来自 mozilla 的测试:
答案2
Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure"
set-cookie 标志不起作用可能有两个原因:
- 使用 CGI 而不是 Apache 进行标头控制。
- AWS ELB 截断 cookie(以防您的网站位于负载均衡器后面)。
如果是第一种情况,这个答案就会起作用,就像它对我一样。