установка куки XSRF-TOKEN httpOnly

ru · 12.08.2019 13:55:28

клиент хочет чтобы все куки были httpOnly
счас в проекте 2 куки XSRF-TOKEN и laravel_session
так вот laravel_session установлена как httpOnly, а XSRF-TOKEN нет
полез в исходник и нашел такой метод

vendor/laravel/framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php

protected function addCookieToResponse($request, $response)
    {
        $config = config('session');

        $response->headers->setCookie(
            new Cookie(
                'XSRF-TOKEN', $request->session()->token(), time() + 60 * 120,
                $config['path'], $config['domain'], $config['secure'], false
            )
        );

        return $response;
    }

получается намеренно убрали httpOnly без возможности регулировки?
пришлось переопределить метод

protected function addCookieToResponse($request, $response)
    {
        $config = config('session');

        $response->headers->setCookie(
            new Cookie(
                'XSRF-TOKEN', $request->session()->token(), time() + 60 * 120,
                $config['path'], $config['domain'], $config['secure']
            )
        );

        return $response;
    }

насколько такое решение правильное?

hzone · 16.08.2019 18:33:09

стесняюсь спросить, а ссылка не с https начинается?

ru · 16.08.2019 18:45:40

да https

hzone · 16.08.2019 18:47:00

понял свою ошибку?

hzone · 16.08.2019 18:48:50

https://github.com/laravel/laravel/blob … n.php#L182
прочти описание.

ru · 16.08.2019 18:58:44

какая связь между параметром http_only и этим куском кода https://github.com/laravel/framework/bl … en.php#L77 ?

hzone · 16.08.2019 19:09:27

так и мне не понятно, что ты пытаешься сломать, чтобы что заработало?

hzone · 16.08.2019 19:11:29

ещё бы интересно услышать доводы клиента, относительно требования.
если клиент настолько продвинут, что хочет XSRF перенести в httpOnly, то почему кодишь ты, а не он?
По тому, что я прочёл, клиент не из простых людей...

hzone · 16.08.2019 19:13:08

короче вопрос в ТЗ. не понятны цели, - не ясны решения

ru · 16.08.2019 19:25:38

я всегда считал что параметр httponly обозначает что кука будет доступна только по http протоколу, включая https, и не будет доступна через скрипты
плюс хром в вкладке кукис отображает галочку httponly без уточнения http или https

Изменено ru (16.08.2019 19:25:53)

Laravel по-русски

#1 12.08.2019 13:55:28

установка куки XSRF-TOKEN httpOnly

#2 16.08.2019 18:33:09

Re: установка куки XSRF-TOKEN httpOnly

#3 16.08.2019 18:45:40

Re: установка куки XSRF-TOKEN httpOnly

#4 16.08.2019 18:47:00

Re: установка куки XSRF-TOKEN httpOnly

#5 16.08.2019 18:48:50

Re: установка куки XSRF-TOKEN httpOnly

#6 16.08.2019 18:58:44

Re: установка куки XSRF-TOKEN httpOnly

#7 16.08.2019 19:09:27

Re: установка куки XSRF-TOKEN httpOnly

#8 16.08.2019 19:11:29

Re: установка куки XSRF-TOKEN httpOnly

#9 16.08.2019 19:13:08

Re: установка куки XSRF-TOKEN httpOnly

#10 16.08.2019 19:25:38

Re: установка куки XSRF-TOKEN httpOnly

Подвал раздела