Thiết lập HttpOnly cookies và cookie secure flag cho PHP

Cookie cho đến giờ phút này vẫn được ứng dụng phổ biến cho hầu hết các ứng dụng. Tuy nhiên “chiếc bánh quy” này sẽ không an toàn nếu như chúng ta không biết cách bảo vệ nó.

Với cookie hacker có thể khai thác được qua các hình thức lỗ hổng  CSRF hoặc XSS để chiếm đoạt cookies của người sử dụng. Do vậy chúng ta cần thêm 2 khái niệm Flag HTTP Only và Flag Secure để thực hiện bổ sung bảo mật cho hệ thống ứng dụng và máy chủ web.

Flag HTTP Only: Cookie có flag này sẽ không thể truy cập thông qua hàm document.cookie. Do đó, dù web có bị lỗi XSS thì hacker không thể đánh cắp được nó.

Flag Secure: Cookie có flag này chỉ được gửi qua giao thức HTTPS, hacker sẽ không thể sniff được.

Ngoài việc thiết lập trong file php ini chúng ta có 2 cách sau:

Ta có thể thiết lập HttpOnly thông qua htacess:

<IfModule php5_module>
    php_flag session.cookie_httponly on
</IfModule> hoặc ta có thể thêm đoạn code này trước khi khởi tạo 1 phiên session

ini_set( 'session.cookie_httponly', 1 );

Thiết lập cookie secure flag:

php_value session.cookie_secure 1
About Liêm Phan 130 Articles
Mình lập blog này với mục đích lưu lại + chia sẻ các các kiến thức mình đã biết hoặc đang tìm hiểu. Cơ bản giúp ích cho mình :) Nhưng hy vọng sẽ mang lại sự khởi đầu thuận lợi cho người mới bắt đầu!