Sitzungs-Cookie ohne gesetztes HttpOnly-Flag
Ich habe eine Website mit einem Login-System erstellt. Nachdem ich gerade fertig bin, habe ich es mit Acunetix gescannt, aber ich habe die folgende Meldung erhalten:
Session Cookie ohne gesetztes HttpOnly-Flag Session Cookie ohne gesetztes Secure-Flag
Meine Frage wäre also, wie kann ich das HttpOnly-Flag für alle meine Sitzungsdaten setzen? Ich verwende nur Sitzungen, wenn ich die Benutzer anmelde. Ich gebe ihnen eine Sitzung mit ihrer Benutzer-ID-Nummer und dann erhalte ich Daten mit dieser Benutzer-ID.
Gibt es eine einfache Möglichkeit, mit der ich ALLE HTTPOnly-Sitzungen festlegen und sichern kann, sodass niemand sie berühren kann?