那些遇到过的问题

HttpOnly和document.cookie

sya*_*yaz 3 cookies xss session-hijacking

搜索启用httpOnly获取cookie的可能方法,我找不到任何.但话又说回来,像Firebug,Add'N Edit Cookie等浏览器插件如何获得cookie?攻击者不能这样做吗?

所以我的问题是,使用javascript获取启用了httpOnly的请求的cookie是否真的非常不可能?

p/s:是的我知道httpOnly不会阻止XSS攻击.我也知道这对嗅探器来说是徒劳的.让我们只关注javascript,类似警报(document.cookie)类型/ pre httpOnly时代.

Pas*_*TIN 6

如何使用Firebug,Add'N Edit Cookie等浏览器插件可以获取cookie?

它们是浏览器扩展,浏览器可以访问cookie; 扩展具有比JS代码更高级别的权限.

是不是真的,真的不可能使用javascript获取httpOnly启用的请求的cookie?

如果您使用支持httpOnly 的浏览器(即最近的浏览器)并且没有安全漏洞,那么它应该是不可能的 - 这就是httpOnly的目标.

引用维基百科:

当浏览器收到这样的cookie时,它应该像往常一样在以下HTTP交换中使用它,但不能让它对客户端脚本可见.

归档时间:

查看次数:

1771 次

最近记录:

16 年,6 月 前
相关归档
Javascript getCookie函数 31
iPhone:NSHTTPCookie未在应用重启期间保存 30
Anti-XSS java库 10
在Express中更改cookie过期 9
为了欧洲的荣耀,禁止在RoR中自动创建会话 8
Flask - 无法获取 cookie 6
在Grails应用程序中实现"记住我" 5
如何对Angular服务与$ cookies的交互进行单元测试? 5
Cookie 在 android 的 webview 中无法正常工作 3
为什么这是XSS攻击以及如何防止这种情况? 1
难疑归档
"yield"关键字有什么作用? 9664
如何检查字符串是否包含特定单词? 2663
做一个"git export"(比如"svn export")? 2312
如何在Ruby中编写switch语句 2026
垂直对齐图像旁边的文字? 1881
静态类变量是否可能? 1824
如何仅列出两次提交之间更改的文件名? 1807
npm install的--save选项是什么? 1779
\ d效率低于[0-9] 1214
在JavaScript中将Unix时间戳转换为时间 1054