Seite 2 von 2

Re: Cookie von Contenido

Verfasst: Mi 18. Nov 2020, 13:57
von Faar
Oldperl hat geschrieben:Gruß aus Franken
Oldie
Ok, wichtiger Punkt.

Es betrifft dann auch solche Installationen, die eine www-Hauptdomain für das Frontend haben und eine Subdomain für das Backend und zusätzlich nur ein Single-Zertifikat, das nur eine Hauptdomain zertifiziert aber nicht auch die Subdomain.
Das Frontend läuft dort mit https und das Backend nur mit http.

Hab ich, solche Fälle.

Gruß,
Frank

Re: Cookie von Contenido

Verfasst: Di 17. Jun 2025, 16:22
von bodil
Das Thema hier ist schon etwas älter.
emergence hat geschrieben: Mo 29. Jun 2020, 14:48 bei der 4.9.12 sollte das in der

data/config/{environment}/config.misc.php

gleich nach

Code: Alles auswählen

// (bool) Enforce HTTPS for cookies
$cfg['secure'] = false;
folgendes setzen...

Code: Alles auswählen

$cfg['cookie']['path'] = '/; sameSite=lax';
das sollte es tun...
Bei mir führt die Ergänzung sameSite=lax'; zu folgender Fehlermeldung:

Code: Alles auswählen

PHP Fatal error:  Uncaught ValueError: setcookie(): "path" option cannot contain ",", ";", " ", "\t", "\r", "\n", "\013", or "\014" in contenido/classes/class.session.php:273
Weiß jemand, wie man das fehlerfrei hinbekommt?
Dank und Gruß!
bodil

Re: Cookie von Contenido

Verfasst: Di 17. Jun 2025, 16:54
von xmurrix
Hallo bodil,

PHP akzeptiert seit der Version 7.3 nicht den Hack mit '/; sameSite=lax' für den Cookie-Pfad.

Das müsste man in der Session Klasse für PHP Versionen (PHP < 7.3 und PHP >= 7.3) entsprechend in zwei Varianten implementieren. Zwei Versionen deswegen, weil CONTENIDO immer noch PHP 7.1 unterstützt.

Alternativ, als eine schnelle Lösung, kannst du das in der Konfiguration deines Web-Servers setzen.

nginx:

Code: Alles auswählen

add_header Set-Cookie "SameSite=Lax";

apache:

Code: Alles auswählen

<IfModule mod_headers.c>
    Header always edit Set-Cookie "(.*)" "$1; SameSite=Lax"
</IfModule>

Re: Cookie von Contenido

Verfasst: Di 17. Jun 2025, 19:14
von bodil
Vielen Dank für die schnelle Antwort!
Web-Server-Konfiguration überfordert mich etwas ... Der Syntax nach könnte ich das auch einfach in die htaccess-Datei schreiben?

Re: Cookie von Contenido

Verfasst: Mi 18. Jun 2025, 07:19
von xmurrix
bodil hat geschrieben: Di 17. Jun 2025, 19:14 ...Der Syntax nach könnte ich das auch einfach in die htaccess-Datei schreiben?...
Ja, das kann man so in die .htaccess schreiben, idealerweise ziemlich am Anfang, also vor den Rewrite-Regeln.
Damit das funktioniert, muss das Apache-Modul headers aktiv sein. Vermutlich ist das bei den meisten Providern der Fall.

Re: Cookie von Contenido

Verfasst: Mi 18. Jun 2025, 13:06
von bodil
Das probiere ich aus! Vielen Dank!
bodil