Discussion :

[TBA_78]

Bonjour,

Je suis entrain de faire le tutoriel espace utilisateur en php et je souhaite que le cookie de la case à cocher soit en secure et httponly alors je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, null, null, true, true);

Mais ça ne marche pas sachant que l'espace que je loue chez ovh est en https et que si je fais comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7);

Le cookie fonctionne bien mais il n'est pas en secure ni en httponly. Quelqu'un a une idée ?

Je vous remecie de votre aide.

[Watilin]

Bonsoir,
il est possible que les valeurs null que tu passes soient converties d’une manière inattendue, et que ça ait une influence côté client. Je ne suis pas certain, mais ça ne coûte pas grand chose de vérifier.

Côté serveur, tu peux utiliser headers_list pour vérifier l’allure des en-têtes Set-Cookie envoyés.
Côté client, tu peux examiner les cookies via les panneaux « réseau » et « stockage » de la console F12.

[TBA_78]

Alors je précise le chemin et le domaine, mais dans la console je n'ai toujours rien:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, '/', 'www.lcab.eu', true, true);

Et si je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

var_dump(headers_list());

ça ne donne pas grand chose.

[Watilin]

Alors je précise le chemin et le domaine, mais dans la console je n'ai toujours rien:

Désolé pour mon mauvais conseil, je viens de vérifier, l’onglet « stockage » ne montre pas les cookies httpOnly. Quelque part, c’est logique. En revanche, tu peux les voir avec l’onglet « réseau ». Pour ça il faut avoir l’onglet déjà ouvert et rafraîchir la page ; tu verras une ou plusieurs lignes apparaître, correspondant aux requêtes faites par le navigateur (souvent il fait une requête de favicon en plus de la page). La première ligne correspond à la requête de la page, quand tu cliques dessus tu peux accéder aux détails, et là tu peux voir les cookies.

ça ne donne pas grand chose.

C’est-à-dire ?
Quand j’essaye de mon côté, j’ai ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
array (size=4)
  0 => string 'X-Powered-By: PHP/7.2.4' (length=23)
  1 => string 'Content-type: text/html; charset=utf-8' (length=38)
  2 => string 'Set-Cookie: secure=machin; expires=Tue, 04-Dec-2018 12:09:56 GMT; Max-Age=604800; path=/; domain=localhost; secure; HttpOnly' (length=124)
  3 => string 'Set-Cookie: unsecure=truc' (length=25)

[TBA_78]

Je viens de réessayer mais en vain et en faisant var_dump(headers_list()); je vois bien ma session mais pas mon cookie de cette façon:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, '/', 'localhost', true, true);

par contre de cette façon, mon cookie se crée bien:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7);

je le vois bien en faisant F12/Cookies dans l'onglet Application.

[Willy_k]

Salut,
D'après la documentation

secure
Indique si le cookie doit uniquement être transmis à travers une connexion sécurisée HTTPS depuis le client. Lorsqu'il est positionné à TRUE, le cookie ne sera envoyé que si la connexion est sécurisée.

Donc il faudrait mettre à false l'avant-dernier paramètre.

[Watilin]

sachant que l'espace que je loue chez ovh est en https et que si je fais comme ça:
[…]
Le cookie fonctionne bien mais il n'est pas en secure ni en httponly.

Je vais peut-être enfoncer des portes ouvertes, mais l’idée m’a traversé l’esprit : il pourrait y avoir les deux cookies, celui qui est httpOnly et celui qui ne l’est pas. Ils peuvent avoir le même nom, la même valeur, etc. Si l’un est httpOnly et l’autre pas, ça fait bel et bien deux cookies différents, et suivant l’outil que tu utilises pour les voir, tu pourrais voir seulement celui qui n’est pas httpOnly.