PHP会话cookie被终端用户安全软件阻止

Question

我对PHP有一个问题，它只影响使用安全软件的Internet用户，包括McAffee、AVG和Norton。一些(但显然不是所有) IE和这些安全包的用户无法登录或将条目添加到他们的篮子中，因为软件似乎正在阻止PHP创建的会话cookie。

• 使用标准IE，Firefox，Opera等。会话cookie正常工作。
• 将IE安全设置更改为最大值仍然允许cookie通过。
• 饼干没有加密。
• 我们没有符合PCI，但我们确实有一个最新的EV SSL证书.
• Cookie是由自定义(第三方)会话类创建的。
• 我们已经尝试过安装软件包，但没有能够重新创建错误。
• 我们从电子商务转换中得知，这只会影响/主要影响IE用户。

会话是使用session_start()启动的，我们为它定义了以下设置：

@ini_set('session.use_cookies', 1); 
@ini_set('session.use_trans_sid', 'Off'); 
@ini_set('url_rewriter.tags', ''); 
@ini_set('session.gc_probability', 1); 
@ini_set('session.gc_divisor', 100); 
@ini_set('session.referer_check', ''); 
@ini_set('session.gc_maxlifetime', 604800); 
session_set_cookie_params($this->session_lifespan, '/', null, null, TRUE); 
session_start(); 

会话寿命设置为21600 (6小时)

饼干被阻塞的可能原因是什么？这些安全包是否已知这一点，是否有任何编码解决方案？

Answer 1

我相信，在从Http/Https切换到Http/Https时，您将需要一个不同的会话。

由于会话处理程序通常使用cookie，并且不能在http/https之间共享cookie，会话在切换后似乎会丢失。

Answer 2

饼干被阻塞的可能原因是什么？

愚蠢的软件给愚蠢的人？当然，还有其他人认为他们在为世界做一个服务通过破坏现有的功能。

但是如果你不能复制这个问题，那么他们可能没有做错什么。

会话寿命设置为21600 (6小时)

您是否正在设置会话cookie的到期时间？所以，现在FF和MSIE都有私人的“私人”浏览功能--我希望这是一个更有可能的选择。

一定要确保在cookie上设置httponly标志--并尝试设置安全标志(尽管这显然对导航有其他影响)。