关于discuz HttpOnly漏洞的修复-网络安全大队通报“低危”...
<font face="Tahoma, Microsoft Yahei, Simsun">cookie最重要的就是登录信息了, 360或者MatriXay</font><font face="Tahoma, &quot">扫描</font><font face="Tahoma, Microsoft Yahei, Simsun">系统一般是游客身份访问网站,没有HttpOnly正常,但是网安要求修复,这里只好</font><font face="Tahoma, &quot;">全部cookie都HttpOnly,打开 source\function\function_core.php</font><br /><font face="Tahoma, &quot;">找到</font><br /><ol><li>$httponly = false) {</ol>改为<br /><ol><li>$httponly = true) {</ol><br /><br />Tahoma<em>, </em>quot<em>, </em>HttpOnly<em>, </em>Microsoft 围观一下 修改这个有什么用吗?有什么影响 ? 不要乱搞, 改了这个js没法读取所有cookie了, 逻辑判断会出严重问题<br />HttpOnly就是该cookie浏览器只发送给http访问的服务器, js无法读取<br />目前不存在任何问题, hash和key这两个cookie一直都是HttpOnly的 一般来说,通报的高危漏洞必须解决,中危漏洞和地危漏洞根据自己实际情况选择处理(我们手上的政府网站就是这么要求的)<br />HttpOnly的话确实会造成JS无法获取到cookies信息,可能影响部分功能(您可以开启后测试下主要或常用功能),如果影响的话再开启
頁:
[1]