Доступен ли файл cookie httponly, когда я делаю php-запросы ajax?

Question

Доступен ли файл cookie httponly, когда я делаю php-запросы ajax?

Я знаю, что об этом уже спрашивали, но мне нужны были некоторые разъяснения и подтверждения. При создании файлов cookie мне сказали использовать httponly для предотвращения XSS.

Итак, мое пояснение: если я использую httponly, смогут ли мои php-скрипты, доступные через ajax-запрос, по-прежнему определять мой активный php-сеанс (по умолчанию: phpssessid) и извлекать мои переменные $_SESSION?

Дело в том, что я не проектировал с опцией httponly, и меня беспокоит, повлияет ли добавление этой опции на дизайн скрипта.

Спасибо!

1

php cookies setcookie httponly

Источник

user243055 29 июл '10 в 01:07

1 ответ

Решение

Другие вопросы по тегам php cookies setcookie httponly

user405207 29 июл '10 в 03:50 2010-07-29 03:50 · Accepted Answer · 2010-07-29 03:50

Я не уверен, что получил вопрос, но вот удар: вам нужно настроить сеанс так же, как и в сценарии, который вы вызываете из ajax, как вы это сделали на своей главной странице. Например, у меня есть один файл, который я "включаю" на своей главной странице, и все, что я вызываю с этой страницы, используя ajax.

Итак, вершина моего index.php имеет

<?php include "db.php"; ?><!DOCTYPE...

то же самое в верхней части моего файла ajax_helper.php

<?php include "db.php"; ?>

файл db.php содержит команды запуска mysql, session_start и все остальное, что будет общим для всех страниц сайта. Таким образом, сессия работает где угодно.

Я надеюсь, что это имеет смысл и отвечает на ваш вопрос