搜索启用httpOnly获取cookie的可能方法,我找不到任何.但话又说回来,像Firebug,Add’N Edit Cookie等浏览器插件如何获取cookie?攻击者不能这样做吗? 所以我的问题是,使用javascript获取启用了h
所以我的问题是,使用javascript获取启用了httpOnly的请求的cookie是否真的非常不可能?
p / s:是的我知道httpOnly不会阻止XSS攻击.我也知道这对嗅探器来说是徒劳的.让我们只关注javascript,类似警报(document.cookie)类型/ pre httpOnly时代.
how do browser addons like Firebug,
Add ‘N Edit Cookie, etc. can get the
cookies?
它们是浏览器扩展,浏览器可以访问cookie;扩展具有比JS代码更高级别的权限.
is it really, really impossible to get
cookie of httpOnly enabled requests,
using javascript?
如果您使用支持httpOnly的浏览器(即最近的浏览器)并且没有安全漏洞,那么它应该是不可能的 – 这就是httpOnly的目标.
引用wikipedia:
When the browser receives such a cookie, it is supposed to use it as usual in the following HTTP exchanges, but not to make it visible to client-side scripts.