Почему cookie всё ещё доступны в JS?

Question

[IvanIF]

Я пытаюсь запретить использование cookie файлов через JS.
Для этого я написал в .htaccess:

php_value session.cookie_httponly 1

Но при вводе в JS этой строки, в консоль выводятся cookie файлы.

console.log(document.cookie);

Попытка запретить использование cookie в JS через PHP путём прописывания такой строки тоже не увенчалась успехом, они всё равно выводятся в консоли. Как запретить использование cookie в JS?

ini_set('session.cookie_httponly', 1);

Answer 1

[xmoonlight]

Хотя бы раз! Загляните сюда.

php_value session.cookie_httponly 1
php_value session.cookie_secure 1

1. Очистите все куки в браузере для тестового домена и, после запроса страницы, проверьте снова.
2. Всегда выводите текущие значения php-флагов для php-скрипта для того, чтобы быть уверенным, что они установлены в верные значения.

Или так, чтобы "налету" заменять любые куки из кода php-скрипта на безопасные:
1. Подключить в Apache mod_headers
2. Добавить в .htaccess:
Header always edit Set-Cookie (.*) "$1; HTTPOnly"
или сразу для двух директив:

Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure"

Comments

[IvanIF]

session.cookie_httponly=On
Запрещает доступ к сессионной cookie для JavaScript. Эта опция предотвращает кражу cookie с помощью JavaScript-инъекции.

Я ведь такой же строкой пытаюсь запретить, нет?

[xmoonlight]

IvanIF, всё читайте. все параметры, а не выборочно. ответ - найдёте сами!

[IvanIF]

Прочитал всю страницу ещё 2 раза и не увидел того, что по вашему мнению должен был (

[xmoonlight]

IvanIF, session.cookie_secure=On
PS: и скорее всего сработал пункт 3:

Вы не сбросили куки для сайта после установки данного параметра и js видит куки, которым ранее не был назначен флаг HttpOnly

[IvanIF]

xmoonlight, Да, но ведь я работаю на open server не по https:
session.cookie_secure=On

Разрешает получать доступ к cookie идентификатора сессии только при использовании протокола HTTPS. Если ваш сайт использует только протокол HTTPS, вам необходимо включить эту опцию.

[xmoonlight]

IvanIF, ну лучше его не забывать включать на "бою". Т.е. всегда 2 параметра нужно ставить.
И проверку кукисов: тут

[IvanIF]

xmoonlight, так в том то и дело, что эти вещи не работают...

1) Пишу в .htaccess:

php_value session.cookie_httponly=On
php_value session.cookie_secure=On

Результат: страница не загружена (ошибка 500)

2) Решил ставить параметр httponly ставить при создании cookie:

setcookie('token', $token, time()+60*60*24*14, '/', false, true);

Но вот вопрос: этот-то cookie файл теперь в js не выводится. Но ведь в cookie хранится ещё и ID сессии. Как установить httponly для него?

[xmoonlight]

IvanIF, Стоп, а почему тогда один из ответов уже отмечен решением вопроса?!

[IvanIF]

xmoonlight, так ведь в нём как раз указано, что можно устанавливать httponly вот так:

setcookie('token', $token, time()+60*60*24*14, '/', false, true);

[xmoonlight]

IvanIF, это установка из кода. Т.е., ограничений - тут вообще никаких нет: будет другой код - будут другие проблемы.
А вопрос был про ограничение среды окружения: настройки веб-сервера/php/etc.
Верно?

[IvanIF]

xmoonlight, да, снял ответ...

[IvanIF]

У меня на сайте есть 3 cookie:
1) SESSID
2) id
3) token
Я сделал всё так, как вы написали в ответе. Итог: кука SESSID не выводится через JS, а куки id и token продолжают выводиться. Как запретить вывод кук id и token через JS?

[xmoonlight]

IvanIF, В самом начале PHP-скрипта можно сделать настройку параметров: session_set_cookie_params.

Можно это поместить также в отдельный файл и загружать его автоматом:

php_value include_path ".:/path/to/file_directory"
php_value auto_prepend_file "global_settings.php"

[IvanIF]

xmoonlight, так может проще при создании cookie указывать httponly, чтобы ничего больше не подключать?

[xmoonlight]

IvanIF, Нет. Не проще! Не весь код Вы сможете отследить (сторонние либы и т.д.)
Вот:
1. Подключить в Apache mod_headers
2. Добавить в .htaccess:
Header always edit Set-Cookie (.*) "$1; HTTPOnly"
или сразу для двух директив:

Header always edit Set-Cookie (.*) "$1; HTTPOnly; Secure"