Включение атрибута HttpOnly для HTTP cookies

[LARK]

С версии PHP 5.2.0. появилась возможность указывать для cookies атрибут HttpOnly. В этом случае доступ к cookies может быть получен только через HTTP протокол и cookies не будут доступны через скриптовые языки, такие как JavaScript. Это позволяет защититься от XSS атак (например при вставке кода с document.cookie).

Открываем

/class/sessions.class.php

находим метод setCook() в нем строку

PHP код:

setcookie($this->cookie, $data, time()+$this->expiretime, '/', '', 0); 


и заменяем ее на

PHP код:

if(version_compare(PHP_VERSION, '5.2.0', '>=')) {
    setcookie($this->cookie, $data, time()+$this->expiretime, '/', '', 0, 1);
} else {
    header("Set-Cookie: " . rawurlencode($this->cookie) . "=" . rawurlencode($data) . "; expires=" . gmdate('D, d-M-Y H:i:s', time()+$this->expiretime) . " GMT; path=/; httponly");
} 


Для тех кто для авторизации использует сессии, открываем

/include/common.php

находим

PHP код:

session_start(); 


и заменяем на

PHP код:

if(version_compare(PHP_VERSION, '5.2.0', '>=')) {
    ini_set('session.cookie_httponly', 1);
}

session_start(); 


---

Хак для всех версий RUNCMS

[Zormax]

в тот же форуме, в темах некоторых используется обработка через ява-скрипты.
Поэтому осторожнее..

[LARK]

Цитата:

Сообщение от Zormax в тот же форуме, в темах некоторых используется обработка через ява-скрипты. Поэтому осторожнее..

это важное замечание, в частности cookies в JavaScript используются в Coppermine Photo Gallery (модуль CPG), в newbb_plus и phpBB2, но для тех, для кого это не критично, могут это использовать как дополнительную защиту.

[LARK]

Не совсем точно я написал - параметр HttpOnly действует только на конкретный cookies (в нашем случае cookies авторизации), для которого он устанавливается. Так что, к другим cookies (которые были установлены без HttpOnly ) он отношения не имеет.