Christian Kruse: Cookie Prefixes setzen per php.ini machbar?

Beitrag lesen

Hallo oxo888oxo,

Aus der dort dann verlinkten Seite werde ich aber leider nicht richtig schlau, was das Thema Cookie Prefix angeht. Dafür ist mein Englisch und auch mein Sachverstand nicht ausreichend.

Es läuft darauf hinaus, dass man seine Cookie-Namen mit __Secure- oder __Host- prefixed. __Secure- sorgt dafür, dass der Browser den Cookie nur annimmt, wenn der Cookie mit dem Secure-Flag gesetzt wird und über ein vom Browser als sicher eingeschätztes Scheme kommt. Sprich, wenn du versuchst den Cookie Set-Cookie: __Secure-foo=bar; path=/ zu setzen, dann würde er abgelehnt werden, weil der Secure-Flag fehlt. Set-Cookie: __Secure-foo=bar; path=/; Secure würde angenommen, sofern die Seite über HTTPS ausgeliefert wird.

Das __Host--Prefix ist sogar noch restriktiver. Es verlangt die oben erwähnten Bedingungen und setzt noch zwei Restriktionen oben drauf: der Cookie darf das domain-Flag nicht enthalten, er wird also nur für example.com und nicht für foo.example.com geschickt. Und er muss ein path-Attribut mit dem Wert / enthalten. Set-Cookie: __Host-foo=bar; path=/; Secure; domain=example.org würde also nicht angenommen, Set-Cookie: __Secure-foo=bar; path=/; Secure dagegen schon (sofern die Seite über HTTPS ausgeliefert wird).

Ist es denn möglich, diesen Cookie Prefix auch per php.ini zu setzen?

Nein, das ist nicht möglich.

Freundliche Grüße,
Christian Kruse