大家好 维护的网站中有个网站是架在IIS7.5上的php5.3网站 网站中的cookie是session在使用的 而资安要求要将cookie设为secure与HttpOnly 想说可以的话尽量不要更改程式 所以我改了php.ini中关於这两者的设定 session.cookie_secure = 1 session.cookie_httponly = 1 改完网站重新启动後，开启网站的页面 从开发者工具查看header 有看到结果如下： Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015 06:59:34 GMT; path=/; secure; HttpOnly 可是在按F5重新整理页面後，header会像这样： Set-Cookie:PHPSESSID=uj97k3k22lugnj7c59j0n1gtj3; expires=Mon, 21-Dec-2015 07:00:17 GMT; path=/ 也就是少掉了secure与HttpOnly标签 从PHPSESSIONID可以看出这是同一个Session的cookie 请问这是正常现象吗?cookie的这两项设定只有在初次给予时要设定吗? 还是说这是後来漏掉了我必须补上这两项设定呢? 谢谢各位 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.134.18.8 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1450682835.A.E15.html