<p>The httponly flag forces the cookie to be read via web requests only. The secure flag forces ssl for cookie requests. See <a href="https://github.com/opentechinstitute/commotion-openwrt/issues/32" class="issue-link" title="Missing HTTPOnly Flag for sysauth Cookie">opentechinstitute/commotion-openwrt#32</a> and <a href="https://github.com/opentechinstitute/commotion-openwrt/issues/33" class="issue-link" title="Missing Secure Flag for sysauth Cookie">opentechinstitute/commotion-openwrt#33</a> for the full issue writeups and pointers to resources.</p>

<p>In this case I'm not sure exactly what apps_controller is doing or how the cookie is being used, but the cookie construct is identical to luci's dispatcher.lua, which builds the sysauth cookie in commotion-openwrt (which triggered issues 32 and 33, above).</p>

<p>For a quick and dirty test, visit a page that uses the sysauth cookie (which would be any /admin page in commotion-openwrt) and use firebug or equivalent to view cookies. Both httponly and secure should be On or True.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href='https://github.com/opentechinstitute/luci-commotion-linux/pull/1#issuecomment-25262579'>view it on GitHub</a>.<img src='https://github.com/notifications/beacon/HSS0tS4nfORw_XnPQF8f0dCt1a5Wywrbb6DbGQb6blS4cMuu793r7q2yXSogV2VO.gif' height='1' width='1'></p>