HttpOnly和所有cookie的Apache mod_header的安全cookie
我正在使用Apache 2.2.29的网站。 Apache既可以为Drupal提供页面,也可以作为内部应用程序服务器的反向代理。 出于安全考虑,我们希望将标志HttpOnly添加到所有发送给客户端的cookie中。 为了做到这一点,我已经在Apache中设置了以下规则 Header edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly" Header edit Set-Cookie "(?i)^((?:(?!;\s?secure).)+)$" "$1; secure" 而且,对于一些cookie,这工作正常,但其他人没有被修改。 看看响应头,我看到以下内容: HTTP/1.1 200 OK Date: Thu, 20 Nov 2014 22:50:01 GMT Expires: Sun, 19 Nov 1978 05:00:00 GMT Last-Modified: Thu, 20 Nov 2014 22:50:01 GMT Cache-Control: store, no-cache, must-revalidate Cache-Control: post-check=0, pre-check=0 Set-Cookie: SESSbfb02014bca2e49545c2cacd8a8cfcfa=perqn1l3mn2saselmabnn4vla7; expires=Sun, 14-Dec-2014 02:23:21 […]