Serveur Apache HTTP Version 2.4
Serveur Apache HTTP Version 2.4
| Description: | Support des sessions bas� sur les cookies |
|---|---|
| Statut: | Extension |
| Identificateur�de�Module: | session_cookie_module |
| Fichier�Source: | mod_session_cookie.c |
| Compatibilit�: | Disponible depuis la version 2.3 d'Apache |
Les modules de session font usage des cookies HTTP, et peuvent � ce titre �tre victimes d'attaques de type Cross Site Scripting, ou divulguer des informations � caract�re priv� aux clients. Veuillez vous assurer que les risques ainsi encourus ont �t� pris en compte avant d'activer le support des sessions sur votre serveur.
Ce sous-module du module mod_session fournit le
support du stockage des sessions utilisateur au niveau du navigateur
distant dans des cookies HTTP.
L'utilisation de cookies pour stocker les sessions d�charge le serveur ou le groupe de serveurs de la n�cessit� de stocker les sessions localement, ou de collaborer pour partager les sessions, et peut �tre utile dans les environnements � fort trafic o� le stockage des sessions sur le serveur pourrait s'av�rer trop consommateur de ressources.
Si la confidentialit� de la session doit �tre pr�serv�e, le
contenu de cette derni�re peut �tre chiffr� avant d'�tre enregistr�
au niveau du client � l'aide du module
mod_session_crypto.
Pour plus de d�tails � propos de l'interface des sessions, voir
la documentation du module mod_session.
Pour cr�er une session et la stocker dans un cookie nomm� session, configurez-la comme suit :
Session On
SessionCookieName session path=/
Pour plus d'exemples sur la mani�re dont une session doit �tre
configur�e pour qu'une application CGI puisse l'utiliser, voir la
section exemples de la documentation du module
mod_session.
Pour des d�tails sur la mani�re dont une session peut �tre
utilis�e pour stocker des informations de type nom
d'utilisateur/mot de passe, voir la documentation du module
mod_auth_form.
| Description: | Nom et attributs du cookie RFC2109 dans lequel la session est stock�e |
|---|---|
| Syntaxe: | SessionCookieName nom attributs |
| D�faut: | none |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_cookie |
La directive SessionCookieName permet de
sp�cifier le nom et les attributs optionnels d'un cookie compatible
RFC2109 dans lequel la session sera stock�e. Les cookies RFC2109
sont d�finis en utilisant l'en-t�te HTTP Set-Cookie.
Une liste optionnelle d'attributs peut �tre sp�cifi�e, comme dans l'exemple suivant. Ces attributs sont ins�r�s tels quels dans le cookie, et ne sont pas interpr�t�s par Apache. Assurez-vous que vos attributs soient d�finis correctement selon la sp�cification des cookies.
Session On
SessionCookieName session path=/private;domain=example.com;httponly;secure;version=1;
| Description: | Nom et attributs pour le cookie RFC2965 dans lequel est stock�e la session |
|---|---|
| Syntaxe: | SessionCookieName2 nom attributs |
| D�faut: | none |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_cookie |
La directive SessionCookieName2 permet de
sp�cifier le nom et les attributs optionnels d'un cookie compatible
RFC2965 dans lequel la session sera stock�e. Les cookies RFC2965
sont d�finis en utilisant l'en-t�te HTTP
Set-Cookie2.
Une liste optionnelle d'attributs peut �tre sp�cifi�e, comme dans l'exemple suivant. Ces attributs sont ins�r�s tels quels dans le cookie, et ne sont pas interpr�t�s par Apache. Assurez-vous que vos attributs soient d�finis correctement selon la sp�cification des cookies.
Session On
SessionCookieName2 session path=/private;domain=example.com;httponly;secure;version=1;
| Description: | D�termine si les cookies de session doivent �tre supprim�s des en-t�tes HTTP entrants |
|---|---|
| Syntaxe: | SessionCookieRemove On|Off |
| D�faut: | SessionCookieRemove Off |
| Contexte: | configuration du serveur, serveur virtuel, r�pertoire, .htaccess |
| Statut: | Extension |
| Module: | mod_session_cookie |
La directive SessionCookieRemove permet de
d�terminer si les cookies contenant la session doivent �tre
supprim�s des en-t�tes pendant le traitement de la requ�te.
Dans le cas d'un mandataire inverse o� le serveur Apache sert de frontal � un serveur d'arri�re-plan, r�v�ler le contenu du cookie de session � ce dernier peut conduire � une violation de la confidentialit�. � ce titre, si cette directive est d�finie � "on", le cookie de session sera supprim� des en-t�tes HTTP entrants.