Как почистить cookies у клиентов через PHP или Javascript?

Question

[run182]

Происходит задваивание сессий на сайту 1C-Bitrix. Были проблемы в настройках - их решили.
Но у клиентов нужно почистить куки. Как можно это сделать (но не просить их об этом)?
Пробовали так, но не имеет эффекта:

session_abort();
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}
session_destroy();
unset($_SESSION);
unset($_COOKIE);

Comments

[Вадим]

https://learn.javascript.ru/cookie

function deleteCookie(name) {
  setCookie(name, "", {
    'max-age': -1
  })
}

[run182]

Вадим, как удалить все куки?

[Вадим]

run182, Ссылку я не просто так прикрепил.

[run182]

Вадим, половина ответа - это не ответ, дружище. К тому же как удалить Все куки в статье тоже не говорится.

Удалил куку для PHPSESSID, но проблема осталась. Хотя если вручную в браузере сбрасываю - все ок, работает

[Вадим]

run182, Поэтому это комментарий, а не ответ, потому что это не ответ, а комментарий :-)
У меня недостаточно экспертизы по работе с куки на клиенте, но, исходя из того, что мне известно, а так же из этой статьи, чужие куки программно удалить нельзя.

[smilingcheater]

run182, у вас эта проблема после обновления ядра вылезла? сессионная кука 2 раза, для домена site.ru и .site.ru?
Могу предложить простое и костыльное решение - в настройках php изменить имя сессионной куки :) например на PHP_SESSID

[run182]

smilingcheater, да, как раз рассматриваем этот вариант.
У вас нет подробностей этого бага и его причин?

[smilingcheater]

run182, нет подробностей, копал но причину не нашёл. Воспроизвелось на двух разных проектах при обновлении с 16 до 20 и с 18 до 20 версии. При этом на других проектах при обновлениях такого не ловил.

[smilingcheater]

run182, как на заказ поймал баг ещё раз, и смог немного раскопать. Последняя версия (20.200), чистая установка - в куках указывается домен без начальной точки. В момент добавления второго сайта и указания домена для него en.site.local - кука начинает выставляться на .site.local

[run182]

smilingcheater, странное поведение

[run182]

smilingcheater, нашел решение

Answer 1

[nokimaro]

Чтобы удалить куку, недостаточно имени куки и передачи Expiration
Нужно послать в браузер куку точно с такими же параметрами, с которыми она была установлена
Тут влияют все флаги: path, domain, secure, httponly, samesite
Например PHPSESSID для site.ru и PHPSESSID для .site.ru это две разных куки.
То есть вам надо точно определить какую куку удалить с учётом флагов с которыми она была установлена. Посмотреть это можно в dev tools, во вкладке Application -> Storage -> cookies

Comments

[run182]

setcookie("PHPSESSID", "", time()-1000);
setcookie("PHPSESSID", "", time()-1000, '/');
setcookie("PHPSESSID", "", time()-1000, '/', 'site.ru');
setcookie("PHPSESSID", "", time()-1000, '/', '.site.ru');
setcookie("PHPSESSID", "", time()-1000, '/', 'www.site.ru');
setcookie("PHPSESSID", "", time()-1000, '/', 'portal.site.ru');

Вот так удалось решить проблему задвоенных сессий (сначала отловил неудачную авторизацию, а потом удалил куку и предложил войти еще раз.