## 漏洞提示   ## 描述 httponly是微软对cookie做的扩展，这个主要是解决用户的cookie可能被盗用的问题。 大家都知道，当我们去邮箱或者论坛登陆后，服务器会写一些cookie到我们的浏览器，当下次再访问其他页面时，由于浏览器回自动传递cookie，这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说，实质上，所有的登陆状态这些都是建立在cookie上的！假设我们登陆后的cookie被人获得，那就会有暴露个人信息的危险！当然，想想，其他人怎么可以获得客户的cookie？那必然是有不怀好意的人的程序在浏览器里运行！如果是现在满天飞的流氓软件，那没有办法，httponly也不是用来解决这种情况的，它是用来解决浏览器里javascript访问cookie的问题。试想，一个flash程序在你的浏览器里运行，就可以获得你的cookie的！ ## 修复方案 * 一、修改php配置文件php.ini **注意：YNCMS勿改此项，其程序内部提供支持，按照第二种方案修改即可** ~~~ session.cookie_secure = 1 session.cookie_httponly = 1 ~~~   * 二、修改网站cookie配置文件，以YNCMS为例，修改/Application/Home/Conf/config.php，添加配置参数 ~~~ 'COOKIE_SECURE' => true, // cookie 启用安全传输 'COOKIE_HTTPONLY' => true, // httponly设置 ~~~  **参考资料：** http://www.jb51.net/article/105018.htm * * * * * 提交人：wangwenbing