Wordpress 如何向所有 SETCOOKIE() 函数添加 httponly 和安全标志？

Posted 2023-02-24

【中文标题】Wordpress 如何向所有 SETCOOKIE() 函数添加 httponly 和安全标志？

【英文标题】：Wordpress how to add httponly and secure flag to all SETCOOKIE() function?

【发布时间】：2016-01-29 19:41:03

【问题描述】：

我是 wordpress 新手。在少数插件的代码中，一些 setcookie() 函数已经设置了 HTTPOnly 和 Secure 标志，而一些 setcookie() 函数在代码中没有 HTTPOnly 或安全标志。

如何设置所有带有 HTTPonly 和 Secure 标志的 setcookie() 函数，无论是否设置了 HTTPOnly 或 Secure 标志。

如果我在 .htaccess 中应用将上述标志设置为 TRUE 的代码，或者在 index.php 中使用 ini_set() 或更改 Apache 配置，这会影响我现有的 Wordpress 工作吗？

或者谁有更好的解决方案？

【参考方案1】：

据我所知，不可能为任何 cookie 预先设置 HTTPOnly - 但是可以为会话 cookie 设置它。

看看PHP: SetCookie documentation

对于安全位，您的网站也需要通过 SSL 运行。对于 HTTPOnly - 如果任何脚本依赖于这些 cookie 中的值，则 JS 无法读取 HTTPOnly cookie。

您可以编写自己的 setSecureCookie() 函数，该函数在内部调用 setcookie() ...但这是一个完整的代码重写。

【讨论】：

谢谢，之前我的网站很少有 SSL 页面。现在为了增强安全性，所有页面都在 SSL 层下。我的问题是，不是在没有安全或 httponly 的情况下查找和替换 setcookie 函数，有什么方法可以通过从一个地方将 SSL 和 HTTPonly 标志设置为 TRUE 吗？

我不确定常规 cookie 是否可行。不过会话 cookie 是可能的。

对不起，我忘了提及会话 cookie。我正在考虑在 php.ini 中将 session.cookie_httponly 和 session.cookie_secure 设置为 TRUE

session.cookie_httponly - 是的，请打开它。仅当您的网站 100% 启用 SSL 时，安全位才对您有效。

谢谢...将直接在生产环境中尝试：-0