セキュリティ/メモ

• cookieのsecure属性

sslをつかったサイトでのcookieはsecure属性とする。そうするとssl以外ではcookieのやり取りをしない

• cookieのHttpOnly属性

クッキーの設定をhttpでのみ操作できるようにする(jsでは対応できないように。

<?php
ini_set('session.cookie_httponly', true);

• 同一生成元

プロトコル(http,https)、ポート、ドメインによってユニーク判定される

• get/post使い分け

パスワードなどのリクエストをgetメソッドにするrefererやlogに情報が残るのでNG

• クッキー削除方法

有効期限を過去に設定するとクッキーが消える