Активация secure_cookies (флаг httpOnly) в CS-Cart и CS-Cart Multi-Vendor¶

Что такое флаг httpOnly и зачем он нужен?¶

httpOnly — дополнительный параметр HTTP-заголовка Set-Cookie, который запрещает доступ к данным cookie через JavaScript (отсюда название: cookies доступны только через HTTP-протокол). Использование этого флага позволяет разработчикам усилить защиту от краж сессий через XSS-атаки (внедрение вредоносного кода). Хотя обойти httpOnly возможно, это значительно усложнит злоумышленникам доступ к сессиям администратора и продавцов.

Как активировать httpOnly в CS-Cart?¶

1. Получите доступ к серверу проекта через SSH, sFTP или FTP;
2. Откройте файл config.local.php в корневой директории проекта;
3. Найдите параметр secure_cookies (доступен с версии CS-Cart 4.12.1; если его нет — обратитесь в поддержку CS-Cart);
4. Если значение "false" — замените его на "true". Запись должна выглядеть так: 'secure_cookies' => true, убедитесь, что true не заключено в кавычки.

Важно! После активации все пользователи будут разлогинены, а данные неоформленных корзин утеряны — cookie будут перегенерированы с учетом новых параметров безопасности.