關于discuz HttpOnly漏洞的修復-網絡安全大隊通報“低危”...

UCenter

cookie最重要的就是登錄信息了， 360或者MatriXay掃描系統一般是游客身份訪問網站，沒有HttpOnly正常，但是網安要求修復，這里只好全部cookie都HttpOnly，打開 source\function\function_core.php
找到

1. $httponly = false) {

復制代碼

改為

1. $httponly = true) {

復制代碼

愛搜街

圍觀一下

劉先生

修改這個有什么用嗎？有什么影響 ？

jiangchuankyo

不要亂搞, 改了這個js沒法讀取所有cookie了, 邏輯判斷會出嚴重問題
HttpOnly就是該cookie瀏覽器只發送給http訪問的服務器, js無法讀取
目前不存在任何問題, hash和key這兩個cookie一直都是HttpOnly的

科站網

一般來說，通報的高危漏洞必須解決，中危漏洞和地危漏洞根據自己實際情況選擇處理（我們手上的政府網站就是這么要求的）
HttpOnly的話確實會造成JS無法獲取到cookies信息，可能影響部分功能（您可以開啟后測試下主要或常用功能），如果影響的話再開啟