ThinkChat2.0新版上线,更智能更精彩,支持会话、画图、阅读、搜索等,送10W Token,即刻开启你的AI之旅 广告
## 漏洞提示 ![](https://box.kancloud.cn/097d4cc66648003606fe1fad6bb4d8ad_1854x101.png) ![](https://box.kancloud.cn/31dbff45df2ef0eb1e1c4f4e1ed8ed99_758x555.png) ## 描述 httponly是微软对cookie做的扩展,这个主要是解决用户的cookie可能被盗用的问题。 大家都知道,当我们去邮箱或者论坛登陆后,服务器会写一些cookie到我们的浏览器,当下次再访问其他页面时,由于浏览器回自动传递cookie,这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内容。也就是说,实质上,所有的登陆状态这些都是建立在cookie上的!假设我们登陆后的cookie被人获得,那就会有暴露个人信息的危险!当然,想想,其他人怎么可以获得客户的cookie?那必然是有不怀好意的人的程序在浏览器里运行!如果是现在满天飞的流氓软件,那没有办法,httponly也不是用来解决这种情况的,它是用来解决浏览器里javascript访问cookie的问题。试想,一个flash程序在你的浏览器里运行,就可以获得你的cookie的! ## 修复方案 * 一、修改php配置文件php.ini **注意:YNCMS勿改此项,其程序内部提供支持,按照第二种方案修改即可** ~~~ session.cookie_secure = 1 session.cookie_httponly = 1 ~~~ ![](https://box.kancloud.cn/a972ddf7bfc7a968777f5f23cbf1833d_353x61.png) ![](https://box.kancloud.cn/f78208af033a334c8c277d258ea57a6c_315x63.png) * 二、修改网站cookie配置文件,以YNCMS为例,修改/Application/Home/Conf/config.php,添加配置参数 ~~~ 'COOKIE_SECURE' => true, // cookie 启用安全传输 'COOKIE_HTTPONLY' => true, // httponly设置 ~~~ ![](https://box.kancloud.cn/76c0d159553042dcefc760573a59df68_659x174.png) **参考资料:** http://www.jb51.net/article/105018.htm * * * * * 提交人:wangwenbing