Apache: Модуль Apache mod_session

RU EN

Пункт 190. Модуль Apache mod_session_cookie

Модули сеанса используют файлы cookie HTTP и, как таковые, могут стать жертвой атак межсайтового скриптинга или предоставить клиентам потенциально личную информацию. Пожалуйста, убедитесь, что соответствующие риски были приняты во внимание, прежде чем включать функции сеанса на вашем сервере.

Этот подмодуль mod_session обеспечивает поддержку хранения пользовательских сеансов в удаленном браузере в файлах cookie HTTP.

Использование файлов cookie для хранения сеанса устраняет необходимость локального хранения сервером или группой серверов сеанса или совместного использования сеанса, что может быть полезно в средах с высоким трафиком, где сеанс на основе сервера может быть слишком ресурсоемким.

Если требуется конфиденциальность сеанса, mod_session_crypto модуль можно использовать для шифрования содержимого сеанса перед записью сеанса клиенту.

Дополнительные сведения об интерфейсе сеанса см. в документации к модулю mod_session .

Основные примеры

Чтобы создать простой сеанс и сохранить его в файле cookie с именем session , настройте сеанс следующим образом:

Сеанс на основе браузера

 Сессия включена
Путь сеанса SessionCookieName=/

Дополнительные примеры того, как сеанс может быть настроен для чтения и записи приложением CGI, см. в mod_session разделе примеров.

Документацию о том, как сеанс можно использовать для хранения сведений об имени пользователя и пароле, см. в mod_auth_form модуле.

Директива SessionCookieName

Описание:	Имя и атрибуты файла cookie RFC2109, в котором хранится сеанс
Синтаксис:	`SessionCookieName name attributes`
По умолчанию:	`none`
Контекст:	конфигурация сервера, виртуальный хост, каталог, .htaccess
Положение дел:	Расширение
Модуль:	mod_session_cookie

Директива SessionCookieName определяет имя и необязательные атрибуты файла cookie, совместимого с RFC2109, в котором будет храниться сеанс. Файлы cookie RFC2109 устанавливаются с использованием Set-Cookie заголовка HTTP.

Можно указать необязательный список атрибутов cookie, как показано в примере ниже. Эти атрибуты вставляются в файл cookie как есть и не интерпретируются Apache. Убедитесь, что ваши атрибуты определены правильно в соответствии со спецификацией файлов cookie.

Куки с атрибутами

 Сессия включена
SessionCookieName путь сеанса=/частный;домен=example.com;только http;безопасный;версия=1;

Директива SessionCookieName2

Описание:	Имя и атрибуты файла cookie RFC2965, в котором хранится сеанс
Синтаксис:	`SessionCookieName2 name attributes`
По умолчанию:	`none`
Контекст:	конфигурация сервера, виртуальный хост, каталог, .htaccess
Положение дел:	Расширение
Модуль:	mod_session_cookie

Директива SessionCookieName2 определяет имя и необязательные атрибуты файла cookie, совместимого с RFC2965, в котором будет храниться сеанс. Файлы cookie RFC2965 устанавливаются с использованием Set-Cookie2 заголовка HTTP.

Cookie2 с атрибутами

 Сессия включена
Путь сеанса SessionCookieName2=/частный;домен=example.com;только http;безопасный;версия=1;

Директива SessionCookieRemove

Описание:	Контролировать, следует ли удалять файлы cookie сеанса из входящих заголовков HTTP.
Синтаксис:	`SessionCookieRemove On\|Off`
По умолчанию:	`SessionCookieRemove Off`
Контекст:	конфигурация сервера, виртуальный хост, каталог, .htaccess
Положение дел:	Расширение
Модуль:	mod_session_cookie

Флаг SessionCookieRemove определяет, будут ли файлы cookie, содержащие сеанс, удаляться из заголовков во время обработки запроса.

В ситуации с обратным прокси-сервером, когда сервер Apache выступает в качестве внешнего интерфейса для внутреннего сервера-источника, раскрытие содержимого файла cookie сеанса внутреннему серверу может быть потенциальным нарушением конфиденциальности. Если этот параметр включен, файл cookie сеанса будет удален из входящих заголовков HTTP.