아파치의 모든 설정 쿠키 응답에 플래그를 안전 추가 Http 만은 httpd를

Question

제가 아파치 2.2.26 실행 해요 :

Server version: Apache/2.2.26 (Unix) 
Server built: Jan 17 2014 12:24:49 
Cpanel::Easy::Apache v3.22.30 rev9999 +cloudlinux 

내가 설정 - 쿠키 헤더를 편집 할 mod_headers를 사용하여 보안을 추가하려고 해요을 또는 httpOnly 플래그가 있지만 전혀 작동하지 않습니다 (아무것도하지 않고 HTTP 500 오류를 표시하지 않습니다).

머리글 명령의 "수정" "추가"지시문을 문제없이 편집 할 수 있습니다. 나는

내가 많은 조합을 시도했습니다 ... 이유는 모르겠지만, 이것은 내가 내 htaccess로에있는 것입니다 : 내가 자동으로 플래그를 추가합니다 모든 솔루션에 열려있어

Header edit Set-Cookie "(.)([Hh][Tt][Tt][Pp][Oo][Nn][Ll][Yy])?(.)" "$1$2 ;HTTPOnly" 
Header edit Set-Cookie "(.)([Ss][Ee][Cc][Uu][Rr][Ee])?(.)" "$1$2 ;Secure" 

응용 프로그램 내에서 코드를 편집 할 필요없이 모든 Set-Cookie 응답에 적용됩니다. 웹 서버에 추가 항목을 설치할 수있는 권한이 없지만 웹 서버에는 대부분의 웹 호스트에서 발견되는 Apache 모듈의 매우 긴 목록이 있습니다.

Answer 1

Header edit 지시어는 응용 프로그램에서 편집 할 헤더를 생산하는 경우 귀하의 응용 프로그램이 응답을 생산 전에 가, 해당 헤더 아직 지시어가 실행되는 시간에 존재하지 않으며, 아무 것도 없을 것입니다 실행 그것을 편집하십시오.

대신 ( 응용 프로그램이 응답을 생성합니다 후 실행되는) Header always edit를 사용하여이 문제를 해결할 수 있습니다

Header always edit Set-Cookie (.*) "$1; HTTPOnly" 

예 헤더를,이 지침 적용하기 전에 :

Set-Cookie: foo=bar; domain=.example.com; path=/ 

동일 지침 적용 후 헤더 :

Set-Cookie: foo=bar; domain=.example.com; path=/; HTTPOnly 

질문에있는 지시어가 정확히 무엇을 의미하는지 확신 할 수 없습니다. 무엇 실제로이 Header always edit (위 예에서와 동일한 Set-Cookie 헤더로 가정)로 변경되면

Set-Cookie: f ;HTTPOnlyo=bar; domain=.example.com; path=/ 

당신이 정규 표현식에와 역 참조 작업, 거기 일어나고 있지만, 아마도 당신이 원하는 게 아니에요 무슨 분명 방법을 이해하면

. 이 답변의 맨 위에 나와있는 지시문은 모든 Set-Cookie 헤더에 플래그를 추가하려는 경우 작동해야합니다. 니가 필요로하는 것이 더 복잡하고 내가 그 검색을 통해 무엇을하려하는지 잘못 이해했다면/알려줘.

편집 :

Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure" 

... 또는 두 개의 지시문을 사용합니다 : 당신이 그렇게 같은 지침을 수정하실 수 있습니다, 모두 플래그를 추가 :

을 경우하지 분명하다

Header always edit Set-Cookie (.*) "$1; HTTPOnly" 
Header always edit Set-Cookie (.*) "$1; Secure" 

첫 번째 접근 방식은 나에게 더 현명한 것처럼 보일 수 있지만 대부분 맛의 문제입니다.