Cookies HttpOnly和document.cookie的
我正在搜索启用httpOnly时获取cookie的可能方法,但找不到任何方法。但再说一遍,Firebug、Add'N Edit Cookie等浏览器插件如何获得Cookie?攻击者不能这样做吗 所以我的问题是,是否真的,真的不可能使用javascript获取支持httpOnly的请求的cookie 是的,我知道httpOnly不能阻止XSS攻击。我也知道这对嗅探者来说是徒劳的。让我们只关注javascript,类似于警报(document.cookie)类型/pre-httpOnly时代 像Firebug这样的浏览器插件, 添加'N编辑Cookie等。可以获取 饼干 它们是浏览器扩展,浏览器可以访问cookies;扩展具有比JS代码更高级别的权限 这真的,真的不可能吗 httpOnly启用请求的cookie, 使用javascript 如果您使用的是支持httpOnly且没有安全漏洞的浏览器(即最近的浏览器),那么这应该是不可能的——这是httpOnly的目标 引述: 当浏览器收到这样的消息时 cookie,它应该把它当作 通常在以下HTTP交换中, 但并不是为了让人们看到它 客户端脚本Cookies HttpOnly和document.cookie的,cookies,xss,session-hijacking,Cookies,Xss,Session Hijacking,我正在搜索启用httpOnly时获取cookie的可能方法,但找不到任何方法。但再说一遍,Firebug、Add'N Edit Cookie等浏览器插件如何获得Cookie?攻击者不能这样做吗 所以我的问题是,是否真的,真的不可能使用javascript获取支持httpOnly的请求的cookie 是的,我知道httpOnly不能阻止XSS攻击。我也知道这对嗅探者来说是徒劳的。让我们只关注javascript,类似于警报(document.cookie)类型/pre-httpOnly时代 像Fi
Firebug和其他插件可以做到这一点,因为它们不是在对网页的Java脚本施加的安全限制下运行的