在浏览器中访问Facebook Cookie

当我在URL栏中键入

javascript:alert（document.cookie）

时，我只能看到facebook为我的帐户设置的一些cookie

我认为这是因为其他cookie仅限于http

• 第一个问题：这是真的吗？有些Facebook cookies仅限于http，这就是我无法通过javascript访问它们的原因。当我在Web Developer Firefox插件中查看cookies时，我可以看到更多的cookies。例如，“xs”cookie不能通过javascript看到，只能通过WebDeveloper插件看到

• 第二个问题：我如何通过javascript访问所有cookie，如果加载项可以（访问所有cookie），为什么javascript不能这样做

• 第三，如果我不能使用javascript访问所有cookie，我应该如何访问它们

---

不同的浏览器将在中处理httponly标志。应该非常清楚，httponly标志不能防止XSS攻击。使用javascript，您仍然可以“骑”在受害者的会话上。这是一个很好的例子。因此，即使您是攻击者，也不需要cookie值

---

Firefox加载项与从地址栏运行或加载到页面上的javascript不受相同的安全限制。例如，同一来源策略实际上并不适用，因为它没有来源。附加组件绕过这些规则既有用又安全

你为什么要访问它们？在你的标签中看到

会话劫持

和

安全性

让我非常怀疑…@Rook-任何对他们教给人们的东西负责的人都比Jeff Atwood声称http only标志完全完全停止xss要好。事实上，这远比说明它（明显的）缺点更具破坏性。@Rook-当然，但我看不出与这个对话或问题有什么关联。。。