Ich habe hier im Forum schon gelernt, dass man bei der Funktion setcookie() in PHP den Parameter "httponly" auf "true" setzen sollte. Denn dann ist die Gefahr für einen XSS-Angriff nicht so hoch.
Jetzt habe ich mein Login-System von eigenen Cookies auf Sessions umgestellt. Das Problem ist jetzt: Die Session-Cookies werden laut Firefox "für jeden Verbindungstyp" gesendet. Also ist der Parameter "httponly" bei den automatisch erstellten Session-Cookies auf "false" gestellt. Das ist ja dann wieder unsicher.
Kann man das irgendwie umstellen, sodass die Session-Cookies nur für HTTP verfügbar sind, also mit "httponly" = "true"?
Jetzt habe ich mein Login-System von eigenen Cookies auf Sessions umgestellt. Das Problem ist jetzt: Die Session-Cookies werden laut Firefox "für jeden Verbindungstyp" gesendet. Also ist der Parameter "httponly" bei den automatisch erstellten Session-Cookies auf "false" gestellt. Das ist ja dann wieder unsicher.
Kann man das irgendwie umstellen, sodass die Session-Cookies nur für HTTP verfügbar sind, also mit "httponly" = "true"?