關(guān)于discuz HttpOnly漏洞的修復(fù)-網(wǎng)絡(luò)安全大隊(duì)通報(bào)“低危”...

UCenter

cookie最重要的就是登錄信息了， 360或者M(jìn)atriXay掃描系統(tǒng)一般是游客身份訪問網(wǎng)站，沒有HttpOnly正常，但是網(wǎng)安要求修復(fù)，這里只好全部cookie都HttpOnly，打開 source\function\function_core.php
找到

1. $httponly = false) {

復(fù)制代碼

改為

1. $httponly = true) {

復(fù)制代碼

愛搜街

圍觀一下

劉先生

修改這個(gè)有什么用嗎？有什么影響 ？

jiangchuankyo

不要亂搞, 改了這個(gè)js沒法讀取所有cookie了, 邏輯判斷會(huì)出嚴(yán)重問題
HttpOnly就是該cookie瀏覽器只發(fā)送給http訪問的服務(wù)器, js無法讀取
目前不存在任何問題, hash和key這兩個(gè)cookie一直都是HttpOnly的

科站網(wǎng)

一般來說，通報(bào)的高危漏洞必須解決，中危漏洞和地危漏洞根據(jù)自己實(shí)際情況選擇處理（我們手上的政府網(wǎng)站就是這么要求的）
HttpOnly的話確實(shí)會(huì)造成JS無法獲取到cookies信息，可能影響部分功能（您可以開啟后測(cè)試下主要或常用功能），如果影響的話再開啟