mod_sessioncookie
描述: | Cookie 基于 session 支持 |
状态: | 延期 |
模块标识符: | sessioncookie_module |
源文件: | mod_sessioncookie.c |
兼容性: | 可在 Apache 2.3 及更高版本中使用 |
摘要
警告
session 模块使用 HTTP cookies,因此可能成为 Cross Site Scripting 攻击的受害者,或者将潜在的私人信息暴露给 clients。在服务器上启用 session 功能之前,请确保已考虑相关风险。
此mod_session子模块支持在 HTTP cookies 中的 remote 浏览器上存储用户会话。
使用 cookies 来存储 session 不需要服务器或 group 服务器来本地存储 session,或者协作共享 session,并且对于基于服务器的 session 可能过于资源密集的高流量环境非常有用。
如果需要 session 隐私,则_11模块可用于在将 session 写入 client 之前加密 session 的内容。
有关 session 接口的更多详细信息,请参阅mod_session模块的文档。
基本例子
要创建一个简单的 session 并将其存储在名为 session 的 cookie 中,请按如下方式配置 session:
基于浏览器的 session
Session On SessionCookieName session path=/
有关如何将 session 配置为由 CGI application 读取和写入的更多示例,请参阅mod_session示例部分。
有关如何使用 session 来存储用户名和密码详细信息的文档,请参阅mod_auth_form模块。
SessionCookieName 指令
描述: | Name 和存储 session 的 RFC2109 cookie 的属性 |
句法: | SessionCookieName name attributes |
默认: | none |
Context: | server config,virtual host,directory,.htaccess |
状态: | 延期 |
模块: | mod_sessioncookie |
SessionCookieName
指令指定符合 RFC2109 的 cookie 的 name 和可选属性,其中将存储 session。 RFC2109 cookies 使用Set-Cookie
HTTP 标头设置。
可以指定 cookie 属性的可选列表,如下面的 example 所示。这些属性按原样插入到 cookie 中,并且不由 Apache 解释。确保根据 cookie 规范正确定义属性。
Cookie 有属性
Session On SessionCookieName session path=/private;domain=example.com;httponly;secure;version=1;
SessionCookieName2 指令
描述: | Name 和存储 session 的 RFC2965 cookie 的属性 |
句法: | SessionCookieName2 name attributes |
默认: | none |
Context: | server config,virtual host,directory,.htaccess |
状态: | 延期 |
模块: | mod_sessioncookie |
SessionCookieName2
指令指定符合 RFC2965 的 cookie 的 name 和可选属性,其中将存储 session。 RFC2965 cookies 使用Set-Cookie2
HTTP 标头设置。
可以指定 cookie 属性的可选列表,如下面的 example 所示。这些属性按原样插入到 cookie 中,并且不由 Apache 解释。确保根据 cookie 规范正确定义属性。
Cookie2 具有属性
Session On SessionCookieName2 session path=/private;domain=example.com;httponly;secure;version=1;
SessionCookieRemove 指令
描述: | 控制是否应从传入的 HTTP headers 中删除 session cookies |
句法: | SessionCookieRemove On\|Off |
默认: | SessionCookieRemove Off |
Context: | server config,virtual host,directory,.htaccess |
状态: | 延期 |
模块: | mod_sessioncookie |
SessionCookieRemove
flag 控制在请求处理期间是否将从 headers 中删除包含 session 的 cookies。
在反向代理情况下,Apache 服务器充当后端源服务器的服务器前端,向后端显示 session cookie 的内容可能是潜在的隐私侵犯。设置为 on 时,session cookie 将从传入的 HTTP headers 中删除。