Cookie sécurisé secure httponly

Version imprimable

26/11/2018, 19h37
TBA_78

Cookie sécurisé secure httponly

Bonjour,

Je suis entrain de faire le tutoriel espace utilisateur en php et je souhaite que le cookie de la case à cocher soit en secure et httponly alors je fais:

Code:

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, null, null, true, true);

Mais ça ne marche pas sachant que l'espace que je loue chez ovh est en https et que si je fais comme ça:

Code:

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7);

Le cookie fonctionne bien mais il n'est pas en secure ni en httponly. Quelqu'un a une idée ?

Je vous remecie de votre aide.
26/11/2018, 22h09
Watilin

Bonsoir,
il est possible que les valeurs null que tu passes soient converties d’une manière inattendue, et que ça ait une influence côté client. Je ne suis pas certain, mais ça ne coûte pas grand chose de vérifier.

Côté serveur, tu peux utiliser headers_list pour vérifier l’allure des en-têtes Set-Cookie envoyés.
Côté client, tu peux examiner les cookies via les panneaux « réseau » et « stockage » de la console F12.
27/11/2018, 12h04
TBA_78

Cookie sécurisé secure httponly

Alors je précise le chemin et le domaine, mais dans la console je n'ai toujours rien:

Code:

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, '/', 'www.lcab.eu', true, true);

Et si je fais:

Code:

var_dump(headers_list());

ça ne donne pas grand chose.

Citation:

Envoyé par TBA_78

Alors je précise le chemin et le domaine, mais dans la console je n'ai toujours rien:

Désolé pour mon mauvais conseil, je viens de vérifier, l’onglet « stockage » ne montre pas les cookies httpOnly. Quelque part, c’est logique. En revanche, tu peux les voir avec l’onglet « réseau ». Pour ça il faut avoir l’onglet déjà ouvert et rafraîchir la page ; tu verras une ou plusieurs lignes apparaître, correspondant aux requêtes faites par le navigateur (souvent il fait une requête de favicon en plus de la page). La première ligne correspond à la requête de la page, quand tu cliques dessus tu peux accéder aux détails, et là tu peux voir les cookies.

Citation:

Envoyé par TBA_78

ça ne donne pas grand chose.

C’est-à-dire ?
Quand j’essaye de mon côté, j’ai ça :
Code:

1 2 3 4 5 array (size=4) 0 => string 'X-Powered-By: PHP/7.2.4' (length=23) 1 => string 'Content-type: text/html; charset=utf-8' (length=38) 2 => string 'Set-Cookie: secure=machin; expires=Tue, 04-Dec-2018 12:09:56 GMT; Max-Age=604800; path=/; domain=localhost; secure; HttpOnly' (length=124) 3 => string 'Set-Cookie: unsecure=truc' (length=25)

05/12/2018, 15h03
TBA_78

Cookie sécurisé secure httponly

Je viens de réessayer mais en vain et en faisant var_dump(headers_list()); je vois bien ma session mais pas mon cookie de cette façon:

Code:

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7, '/', 'localhost', true, true);

par contre de cette façon, mon cookie se crée bien:

Code:

setcookie('remember', $user->id . '==' . $remember_token . sha1($user->id . 'tba'), time() + 60 * 60 * 24 * 7);

je le vois bien en faisant F12/Cookies dans l'onglet Application.
07/12/2018, 10h00
Willy_k

Salut,
D'après la documentation

Citation:

secure
Indique si le cookie doit uniquement être transmis à travers une connexion sécurisée HTTPS depuis le client. Lorsqu'il est positionné à TRUE, le cookie ne sera envoyé que si la connexion est sécurisée.

Donc il faudrait mettre à false l'avant-dernier paramètre.
07/12/2018, 13h04
Watilin

Citation:

Envoyé par TBA_78

sachant que l'espace que je loue chez ovh est en https et que si je fais comme ça:
[…]
Le cookie fonctionne bien mais il n'est pas en secure ni en httponly.

Je vais peut-être enfoncer des portes ouvertes, mais l’idée m’a traversé l’esprit : il pourrait y avoir les deux cookies, celui qui est httpOnly et celui qui ne l’est pas. Ils peuvent avoir le même nom, la même valeur, etc. Si l’un est httpOnly et l’autre pas, ça fait bel et bien deux cookies différents, et suivant l’outil que tu utilises pour les voir, tu pourrais voir seulement celui qui n’est pas httpOnly.