## 漏洞提示   ## 描述 httponly是微軟對cookie做的擴展，這個主要是解決用戶的cookie可能被盜用的問題。 大家都知道，當我們去郵箱或者論壇登陸后，服務器會寫一些cookie到我們的瀏覽器，當下次再訪問其他頁面時，由于瀏覽器回自動傳遞cookie，這樣就實現了一次登陸就可以看到所有需要登陸后才能看到的內容。也就是說，實質上，所有的登陸狀態這些都是建立在cookie上的！假設我們登陸后的cookie被人獲得，那就會有暴露個人信息的危險！當然，想想，其他人怎么可以獲得客戶的cookie？那必然是有不懷好意的人的程序在瀏覽器里運行！如果是現在滿天飛的流氓軟件，那沒有辦法，httponly也不是用來解決這種情況的，它是用來解決瀏覽器里javascript訪問cookie的問題。試想，一個flash程序在你的瀏覽器里運行，就可以獲得你的cookie的！ ## 修復方案 * 一、修改php配置文件php.ini **注意：YNCMS勿改此項，其程序內部提供支持，按照第二種方案修改即可** ~~~ session.cookie_secure = 1 session.cookie_httponly = 1 ~~~   * 二、修改網站cookie配置文件，以YNCMS為例，修改/Application/Home/Conf/config.php，添加配置參數 ~~~ 'COOKIE_SECURE' => true, // cookie 啟用安全傳輸 'COOKIE_HTTPONLY' => true, // httponly設置 ~~~  **參考資料：** http://www.jb51.net/article/105018.htm * * * * * 提交人：wangwenbing