Php 虚拟主机会话问题_Php_Session_Https

Php 虚拟主机会话问题

php session https

Php 虚拟主机会话问题,php,session,https,Php,Session,Https,各位!！我有一个关于会议的问题，希望有人能帮助我。我设置了一个apache测试服务器，它使用虚拟主机进行http和https。我将以下文件放在我的https中，它可以工作： mytest.php： // this starts the session session_start(); // this sets variables in the session $_SESSION['color']='red'; $_SESSION['size'] ='small'; $_SESSION['shap

各位!！我有一个关于会议的问题，希望有人能帮助我。我设置了一个apache测试服务器，它使用虚拟主机进行http和https。我将以下文件放在我的https中，它可以工作：

mytest.php：

// this starts the session
session_start();
// this sets variables in the session
$_SESSION['color']='red';
$_SESSION['size'] ='small';
$_SESSION['shape']='round';
echo "Done";

mytest2.php：

// this starts the session 
session_start(); 
// echo variable from the session, we set this on our other page 
echo "Our color value is ".$_SESSION['color']; 
echo "Our size value is ".$_SESSION['size']; 
echo "Our shape value is ".$_SESSION['shape'];

但当我在http中查看副本时，它不起作用

两者中的phpinfo（）相同：

session
Session Support  enabled
Registered save handlers  files user sqlite
Registered serializer handlers  php php_binary wddx

Directive Local Value Master Value
session.auto_start Off Off
session.bug_compat_42 On On
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_httponly Off Off
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure On On
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 1440 1440
session.gc_probability 1 1
session.hash_bits_per_character 4 4
session.hash_function 0 0
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path /tmp /tmp
session.serialize_handler php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid 0 1

问题是：

session.cookie_secure On On

如果cookie是会话cookie安全的，则客户端将仅通过https发送该cookie

在

会话\u启动之前更改ini设置或调用

，并在此处指定您不需要安全cookie，例如：

session_set_cookie_params(0, '/', "example.com", false);

正如已经说过的，这可能是因为您使用的是安全cookies

请注意，如果您没有使用安全cookie，则需要在应用程序的逻辑中小心以加强其安全性。从HTTPS转到HTTP是可以的，但是，您应该放弃HTTPS会话。否则，攻击者可以从HTTP连接获取cookie，并通过HTTPS连接使用cookie，假装已作为合法用户进行身份验证。

“当我在HTTP中查看副本时，cookie不起作用。”您能更具体一点吗？这两个脚本在不同的域上吗？不，我使用的是and，你是从http连接到https连接吗？试着打印sessionid（），看看在切换页面时会话的ID是否会改变……为什么Stackoverflow会把我所有的文本都弄乱？前两个应该是http:，后两个应该是https:+1，用于发布会话配置。