Gostaria de alterar todos os cookies para serem seguros e apenas http. Funciona bem para um cookie, mas não funciona quando vários cookies são definidos em resposta.
A regra do mod_header do Apache deve alterar os cookies de:
Set-Cookie cookie1=value; Path=/somePath
Set-Cookie cookie2=value; Path=/somePath
para
Set-Cookie cookie1=value; Path=/somePath; Secure; Http-Only
Set-Cookie cookie2=value; Path=/somePath; Secure; Http-Only
Eu uso mod_headers para ele com a seguinte regra:
Header edit Set-Cookie ^(.*)$ $1;Secure;HttpOnly
Funciona bem quando apenas um cookie é definido, mas se houver mais de um, apenas remove todos os itens a seguir e eles não são definidos.
Alguma ajuda sobre como escrever a regra mod_headers para vários valores? ou o problema está em outra coisa?
Eu encontrei a resposta. Problema tem sido na versão do apache instalado no servidor. O comando Editar é suportado a partir da versão 2.2.4, mas a versão foi 2.2.3 (padrão no RHEL 5+). Então eu melhorei o httpd e tudo funciona bem.
Para mais informações sobre a atualização do httpd no RHEL ou no CentOS, consulte:
Esta regra funcionaria para o apache 2.2.3
Header set Set-Cookie HttpOnly;Secure
Tags apache-2.2 cookies