You are not logged in.
Bonjour,
Avec GLPI v10.0.3, l'output de la commande "console glpi:system:check_requirements" me suggère de positionner "session.cookie_httponly" à "on" :
$ sudo $GLPI_ROOT/bin/console glpi:system:check_requirements | grep "session.cookie_httponly"
| [SUGGESTED] Security configuration for sessions | [INFO] | PHP directive "session.cookie_httponly" should be set to "on" to prevent client-side script to access cookie values. |
$
Sur GLPI v9.5.7, ce paramètre se trouvait dans $GLPI_ROOT/inc/session.class.php :
$ grep -5 session.cookie_httponly $GLPI_ROOT/inc/session.class.php
**/
static function start() {
if (session_status() === PHP_SESSION_NONE) {
// Force session to use cookies and prevent JS scripts to access to them
ini_set('session.cookie_httponly', '1');
ini_set('session.use_only_cookies', '1');
session_name("glpi_".md5(realpath(GLPI_ROOT)));
@session_start();
$
Comment puis-je positionner ce paramètre sur GLPI v10 ?
Offline
Bonjour sebma,
C'est une directive PHP à modifier dans la configuration du serveur PHP, non pas dans la configuration du GLPI.
Typiquement dans : /etc/php.ini (sous el8 / php 8.1 pour ma part), rechercher la directive
session.cookie_httponly
et passer sa valeur à
1
Puis, un bon vieux
systemctl restart httpd.service php-fpm.service
Cordialement.
Last edited by homebrewtainy (2022-10-30 11:56:46)
Creuser, creuser... creuser.
GLPI 10.0.16 [ Linux el 9.4 | Apache/2.4.xx | mysql 15.1 MariaDB 10.5.xx | PHP 8.3.x ] - Apache HTTPS r-proxy [ Linux el 9.4 | Apache/2.4.xx ]
GLPI Inventory 1.3.5 | Data Injection 2.13.5 | Treeview (Arborescence) 1.10.2 | Behaviors (Comportements) 2.7.3
-- Any exchange not written in French comes from an automatic translation. --
Offline