[[セキュリティ指針]]

Cookieの注意点

説明

CookieはセッションID等を収める重要なデータ格納場所である。しかし、それらはユーザによって改ざん可能であったり、通常のhttp通信では盗聴可能であったりと決して安全ではない。 Cookieからの入力は、POSTやGETなどの値と同様に信用できない値と認識してコーディングを行う必要がある。

Cookieのセキュアオプション

Cookieはhttp通信上では盗聴や改ざんが可能であり、SSL通信ににおいてはじめて途中の通信が暗号化される。$_COOKIE変数やsession_get_cookie_params()よりsecureオプションを取得することにより、COOKIE変数の値やセッションにおいて、ユーザとサーバの間は暗号化通信が行われていたことを保証する。