Session Cookie bez zestawu flag HttpOnly
Zbudowałem stronę internetową z systemem logowania. Po przygotowaniu przeskanowałem go za pomocą Acunetix, ale otrzymałem następujący komunikat:
Session Cookie bez flagi HttpOnly ustaw Session Cookie bez bezpiecznego ustawienia flagi (chyba tylko jeśli mam połączenie SSL)
Więc moje pytanie brzmi: jak mogę ustawić flagę HttpOnly dla wszystkich moich danych sesji? Używam sesji tylko podczas logowania użytkowników. Daję im sesję z ich numerem użytkownika i otrzymuję dane przy użyciu tego identyfikatora użytkownika.
Czy istnieje prosty sposób, aby ustawić WSZYSTKIE sesje HTTPOnly i zabezpieczyć je, aby nikt ich nie dotknął?