Désactiver cookie_secure dans Apache pour un seul hôte virtuel?

Question

J'ai session.cookie_secure activée dans mon php.ini. Cela affecte tous les hôtes virtuels sur mon serveur. (C'est en fait mon serveur de développement, mais je préfère garder les paramètres aussi proches de mon site de production que possible.)

Mais j'ai un site de développement sur un hôte virtuel sur ce même serveur Apache. Je ne veux pas session.cookie_secure sur ce site. Y a-t-il un moyen de le désactiver juste pour ce site en utilisant le fichier hôte virtuel?

Je trouve ce site: https://geekflare.com/httponly-secure-cookie-apache/

Ils montrent que pour l'activer, vous:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure 

Puis-je désinitialiser via l'hôte virtuel? J'ai essayé, mais ça ne marche pas:

Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure=Off 

Answer 1

Si PHP fonctionne comme un module Apache, vous pouvez définir que dans un fichier .htaccess ou dans votre configuration d'hôte virtuel:

php_flag session.cookie_secure Off

S'il fonctionne en CGI/FCGI, c'est plus complexe. Je vous recommande de passer à PHP-FPM et de configurer un pool spécifique pour cet hôte virtuel. Voir https://serversforhackers.com/video/php-fpm-multiple-resource-pools ou https://www.linode.com/docs/web-servers/apache/running-fastcgi-php-fpm-on-debian-7-with-apache pour plus de détails (vous devrez peut-être l'adapter à la distribution Linux que vous utilisez).