搜索启用httpOnly获取cookie的可能方法,我找不到任何.但话又说回来,像Firebug,Add'N Edit Cookie等浏览器插件如何获得cookie?攻击者不能这样做吗?
所以我的问题是,使用javascript获取启用了httpOnly的请求的cookie是否真的非常不可能?
p/s:是的我知道httpOnly不会阻止XSS攻击.我也知道这对嗅探器来说是徒劳的.让我们只关注javascript,类似警报(document.cookie)类型/ pre httpOnly时代.
如何使用Firebug,Add'N Edit Cookie等浏览器插件可以获取cookie?
它们是浏览器扩展,浏览器可以访问cookie; 扩展具有比JS代码更高级别的权限.
是不是真的,真的不可能使用javascript获取httpOnly启用的请求的cookie?
如果您使用支持httpOnly 的浏览器(即最近的浏览器)并且没有安全漏洞,那么它应该是不可能的 - 这就是httpOnly的目标.
引用维基百科:
当浏览器收到这样的cookie时,它应该像往常一样在以下HTTP交换中使用它,但不能让它对客户端脚本可见.
京公网安备 11010802040832号 | 京ICP备19059560号-6 