关于discuz HttpOnly漏洞的修复-网络安全大队通报“低危”...

UCenter

cookie最重要的就是登录信息了， 360或者MatriXay扫描系统一般是游客身份访问网站，没有HttpOnly正常，但是网安要求修复，这里只好全部cookie都HttpOnly，打开 source\function\function_core.php
找到

1. $httponly = false) {

改为

1. $httponly = true) {

Tahoma, quot, HttpOnly, Microsoft

爱搜街

围观一下

刘先生

修改这个有什么用吗？有什么影响 ？

jiangchuankyo

不要乱搞, 改了这个js没法读取所有cookie了, 逻辑判断会出严重问题
HttpOnly就是该cookie浏览器只发送给http访问的服务器, js无法读取
目前不存在任何问题, hash和key这两个cookie一直都是HttpOnly的

科站网

一般来说，通报的高危漏洞必须解决，中危漏洞和地危漏洞根据自己实际情况选择处理（我们手上的政府网站就是这么要求的）
HttpOnly的话确实会造成JS无法获取到cookies信息，可能影响部分功能（您可以开启后测试下主要或常用功能），如果影响的话再开启