Мой веб-сайт находится на Apache, который размещен на AWS VPS.
Я попытался установить флаг только для http и флаг безопасности, отредактировав файл security.conf, но проверив заголовки через https://hackertarget.com/http-header-check/ Я вижу, что изменений нет, и файлы cookie все еще без этих флагов.
Я выполнил следующие шаги:
Убедитесь, что на HTTP-сервере Apache включен mod_headers.so.
Добавить следующую запись в /etc/apache2/conf-enabled/security.conf
Правка заголовка Set-Cookie ^ (. *) $ 1; HttpOnly; Secure
Перезапустите HTTP-сервер Apache для проверки
Может кто-нибудь мне помочь?
Попробуйте установить последнюю часть в "", как я сделал здесь:
Header edit Set-Cookie ^(.*)$ "$1;HttpOnly;Secure"
После этого попробуйте проверить синтаксис apache с помощью:
apachectl -t
Очень хороший тест на безопасность заголовков - это тест от mozilla:
Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure"
Флаг set-cookie не работает по двум причинам:
Если это первый случай, этот ответ будет работать так же, как и у меня.