Как проверить, являются ли cookie httponly в php?

Question

[Анастасия]

здравствуйте.

session_start();
function p($var) {echo '<pre>';print_r($var);echo '</pre>';}
setcookie("TestCookie", "123", time()+3600,httponly:true);
p(session_get_cookie_params());

я получаю такой массив

Array
(
    [lifetime] => 0
    [path] => /
    [domain] => 
    [secure] => 
    [httponly] => 
    [samesite] => 
)

Только не говорите, что проверить httponly в браузере невозможно. Проверка httponly должна быть обязательна. У javascript нет доступа к httponly, а у пользователя этого доступа более, чем достаточно и через консоль инспектора прописываются любые куки, которые нужны.

И что я делаю не так?

Answer 1

[DevMan]

зачем вам это проверять?
ваша зона ответственности - собственные печеньки. их и проверяйте.

Comments

[Анастасия]

ну тогда httponly - это прикол, который абсолютно ни от чего не защищает и ни для чего не нужен. Только мне вот непонятно, зачем про него пишут? https://habr.com/ru/post/143259/ - это же бессмысленно. Есть httpOnly или нет его - ничего не меняется

[DevMan]

Анастасия, тогда вы прост не поняли тему.

[SagePtr]

Анастасия, httponly защищает от вредоносного javascript, который может каким-нибудь образом оказаться на странице (в результате XSS-уязвимости, или кривая рекламная сеть/счётчик могут подбросить, или обманутый злоумышленниками пользователь самостоятельно вставить в консоль, не столь важно) и утащить куки авторизованного пользователя. Больше ни от чего не защищает и не обязано защищать.
Просто если случится такая проблема и чужой скрипт будет выполнен на вашей странице - то для этого скрипта куки с httponly будут невидимыми, и всё. Конечно, вы должны избегать попадания на страницу чужих скриптов, но не всегда это возможно, рекламные сети требуют вставки своего кода, и таким способом вы защитите ваши куки от них.

Answer 2

[SagePtr]

Функция session_get_cookie_params возвращает параметры, которые сессионная кука получит, когда вы вызовете session_start. А проверить, с какими параметрами были установлены куки в браузере, на сервере нет возможности - браузер отправляет на сервер только имена и значения. Если хотите для себя убедиться, что куки верно выставляются - то в браузере на F12 смотрите заголовки, которые скрипт ваш отдаёт, а если хотите защититься от спуфинга - это никак не получится, юзер может любые заголовки или данные отправить, никто его гвоздями к браузеру не прибивает, есть тонны утилит.