Laravel по-русски

Русское сообщество разработки на PHP-фреймворке Laravel.

Ты не вошёл. Вход тут.

#1 12.08.2019 13:55:28

установка куки XSRF-TOKEN httpOnly

клиент хочет чтобы все куки были httpOnly
счас в проекте 2 куки XSRF-TOKEN и laravel_session
так вот laravel_session установлена как httpOnly, а XSRF-TOKEN нет
полез в исходник и нашел такой метод

vendor/laravel/framework/src/Illuminate/Foundation/Http/Middleware/VerifyCsrfToken.php

protected function addCookieToResponse($request, $response)
    {
        $config = config('session');

        $response->headers->setCookie(
            new Cookie(
                'XSRF-TOKEN', $request->session()->token(), time() + 60 * 120,
                $config['path'], $config['domain'], $config['secure'], false
            )
        );

        return $response;
    }

получается намеренно убрали httpOnly без возможности регулировки?
пришлось переопределить метод

protected function addCookieToResponse($request, $response)
    {
        $config = config('session');

        $response->headers->setCookie(
            new Cookie(
                'XSRF-TOKEN', $request->session()->token(), time() + 60 * 120,
                $config['path'], $config['domain'], $config['secure']
            )
        );

        return $response;
    }

насколько такое решение правильное?

Не в сети

#2 Вчера 18:33:09

Re: установка куки XSRF-TOKEN httpOnly

стесняюсь спросить, а ссылка не с https начинается? smile

Не в сети

#3 Вчера 18:45:40

Re: установка куки XSRF-TOKEN httpOnly

да https

Не в сети

#4 Вчера 18:47:00

Re: установка куки XSRF-TOKEN httpOnly

понял свою ошибку?

Не в сети

#5 Вчера 18:48:50

Re: установка куки XSRF-TOKEN httpOnly

Не в сети

#6 Вчера 18:58:44

Re: установка куки XSRF-TOKEN httpOnly

какая связь между параметром http_only и этим куском кода https://github.com/laravel/framework/bl … en.php#L77 ?

Не в сети

#7 Вчера 19:09:27

Re: установка куки XSRF-TOKEN httpOnly

так и мне не понятно, что ты пытаешься сломать, чтобы что заработало?

Не в сети

#8 Вчера 19:11:29

Re: установка куки XSRF-TOKEN httpOnly

ещё бы интересно услышать доводы клиента, относительно требования.
если клиент настолько продвинут, что хочет XSRF перенести в httpOnly, то почему кодишь ты, а не он?
По тому, что я прочёл, клиент не из простых людей...

Не в сети

#9 Вчера 19:13:08

Re: установка куки XSRF-TOKEN httpOnly

короче вопрос в ТЗ. не понятны цели, - не ясны решения

Не в сети

#10 Вчера 19:25:38

Re: установка куки XSRF-TOKEN httpOnly

я всегда считал что параметр httponly обозначает что кука будет доступна только по http протоколу, включая https, и не будет доступна через скрипты
плюс хром в вкладке кукис отображает галочку  httponly без уточнения http или https

Изменено ru (Вчера 19:25:53)

Не в сети

Подвал раздела