我有一个WordPress的多站点,它使用两个不同的域,例如:
为了让登录在非主站点上工作,我不得不在wp-wp.php文件中添加以下行
define('COOKIE_DOMAIN',false);
字符串这允许任何WordPress域名设置Cookie,反过来又允许用户登录辅助网站。我的问题是有效通配符Cookie域的安全影响是什么?
ki0zmccv1#
通过在WordPress多站点环境中将COOKIE_DOMAIN设置为false来通配符化Cookie域具有重要的安全影响。
Security Implications:
字符串
如果攻击者获得了对Cookie的访问权限,他们就可以在Cookie覆盖的任何子域上模拟用户。
Secure Cookies:
型在cookie上设置secure和httponly标志以增强其安全性。secure标志确保cookie仅通过安全(HTTPS)连接发送,httponly标志防止客户端脚本访问cookie。
define('COOKIE_DOMAIN', false); define('COOKIEPATH', '/'); define('SITECOOKIEPATH', '/'); define('ADMIN_COOKIE_PATH', '/'); define('SECURE_AUTH_COOKIE', 'secure_auth'); define('LOGGED_IN_COOKIE', 'logged_in'); define('TEST_COOKIE', 'test_cookie'); define('COOKIEHASH', '');
型
1条答案
按热度按时间ki0zmccv1#
通过在WordPress多站点环境中将COOKIE_DOMAIN设置为false来通配符化Cookie域具有重要的安全影响。
字符串
如果攻击者获得了对Cookie的访问权限,他们就可以在Cookie覆盖的任何子域上模拟用户。
型
在cookie上设置secure和httponly标志以增强其安全性。secure标志确保cookie仅通过安全(HTTPS)连接发送,httponly标志防止客户端脚本访问cookie。
型