久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區(qū)

標題: 關(guān)于discuz HttpOnly漏洞的修復-網(wǎng)絡(luò)安全大隊通報“低危”... [打印本頁]

作者: UCenter 時間: 2019-7-28 13:51
標題: 關(guān)于discuz HttpOnly漏洞的修復-網(wǎng)絡(luò)安全大隊通報“低危”...
cookie最重要的就是登錄信息了， 360或者MatriXay掃描系統(tǒng)一般是游客身份訪問網(wǎng)站，沒有HttpOnly正常，但是網(wǎng)安要求修復，這里只好全部cookie都HttpOnly，打開 source\function\function_core.php
找到

$httponly = false) {

復制代碼

改為

$httponly = true) {

復制代碼

作者: 愛搜街 時間: 2019-7-28 17:06
圍觀一下

作者: 劉先生 時間: 2019-7-29 10:29
修改這個有什么用嗎？有什么影響？

作者: jiangchuankyo 時間: 2019-7-29 11:32
不要亂搞, 改了這個js沒法讀取所有cookie了, 邏輯判斷會出嚴重問題
HttpOnly就是該cookie瀏覽器只發(fā)送給http訪問的服務(wù)器, js無法讀取
目前不存在任何問題, hash和key這兩個cookie一直都是HttpOnly的

作者: 科站網(wǎng) 時間: 2019-7-29 13:48
一般來說，通報的高危漏洞必須解決，中危漏洞和地危漏洞根據(jù)自己實際情況選擇處理（我們手上的政府網(wǎng)站就是這么要求的）
HttpOnly的話確實會造成JS無法獲取到cookies信息，可能影響部分功能（您可以開啟后測試下主要或常用功能），如果影響的話再開啟

歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/)