Manuel:$wgCookieHttpOnly
Appearance
Cookies: $wgCookieHttpOnly | |
---|---|
Définissez le drapeau httpOnly sur tous les cookies définis par MediaWiki (pour empêcher l’accès à partir de JavaScript). |
|
Introduit dans la version : | 1.13.0 |
Retiré dans la version : | Encore utilisé |
Valeurs autorisées : | (booléen) |
Valeur par défaut : | true sur PHP 5.2 ou version ultérieure, false pour version précédente |
Autres paramètres : Alphabétique | Par fonction |
Détails
Définissez le drapeau httpOnly
sur tous les cookies définis par MediaWiki (pour empêcher l’accès à partir de JavaScript, voir la section 6.1.2.6 de RFC 6265).
Cela peut atténuer certaines classes d’attaques XSS.
= Navigateurs connus pour supporter HttpOnly
- IE/Win 6 SP1 ou 7
- Firefox 2.0.0.5
- Opera 9.50 beta
- Konqueror (3.4?)
Navigateurs connus pour ignorer HttpOnly
Les navigateurs qui ne comprennent pas HttpOnly cookies devraient toujours stocker et utiliser le cookie comme d’habitude, mais les exposeront toujours au code JavaScript.
- Safari 3.1
- Opera 9.27 (version non Beta actuelle)
- Vieux navigateurs comme IE pour Mac et Netscape 4 ;)
Voir aussi