见截图:
最近用Eyoucms做项目,客户方因为是政府机构,对安全问题比较重视,所以请了第三方安全机构进行扫描,发现网站在打开后有个X_CACHE_KEY的Cookies,没有启用HttpOnly和Secure,报告可能存在被攻击者窃取 cookie 的风险,因此始终无法交付项目。
我在文件:/application/config.php、/core/library/think/Cookie.php、/core/convention.php 中已将httponly和secure开启状态:
'httponly' => true,
'secure' => true,
并且php.ini中也已将httponly开启:session.cookie_httponly = true
但这个X_CACHE_KEY却仍然未开启httponly、secure。
请问该怎么解决这个问题?否则项目始终无法交付....头大。
(另外,我已经为这个站域名买了授权。)