Javascript 从HTTP请求头获取cookie

在Google Chrome上，当我使用Chrome控制台查看“网络”选项卡下的HTTP请求头时，它为我提供了以下请求头：

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:en-US,en;q=0.8
Cache-Control:max-age=0
Connection:keep-alive
Cookie:ASP.NET_SessionId=nlbupfbt32jda1tziep4p21r; .ASPXAUTH=8C94786DD4A3C03C5548973E04A76FF554F38D6EB74E0B006AB3C3F72684E94DC0469E28D22E4BBFA069B82B1CCFB4203627D998990C6C96897DDBB0F611809175D5F06F015604082481F0079AE48DAB7974F3D63242055BEC75F707C545666C67B7C9D9E53F7531020235881E9DA4F3C26FD02B0ED0971D02C64DFE96F67C745119F44BBC9E46DC2CEF61D639EA01B9
... more headers ...

---

我想得到的是Cookie下的数据。我尝试了

document.cookie

，但它返回一个空字符串。如何获取cookie信息？

文档。cookie

不返回任何内容，因为cookie几乎肯定带有该属性

此属性的存在告诉浏览器不允许通过

document.cookie

访问cookie值

---

这是一种主要用于防止通过的安全措施。

如果cookie设置了http only标志，您不能使用JavaScript读取它-这是一种防止会话劫持的安全措施，应该为任何代理标识符（包括会话cookie）设置此安全措施。

那么，使用JavaScript的浏览器会话是否可以知道cookie？例如，黑客如何通过猜测正确的cookie来欺骗请求。他们不是也在使用javascript吗？不幸的是，不是所有的网站都使用这个属性，这使得他们容易受到攻击。更不用说一些系统生成可预测或不安全的会话ID，这些ID容易受到暴力策略的影响。如果网站不使用安全连接，也可以通过访问获取会话cookie。会话cookie也可能通过恶意软件或具有计算机物理访问权限的人被盗：（.@Donato这是否回答了您的问题？是否有其他方法获取cookie。可能是ajax请求并以某种方式获取响应头？尝试一下。如果它确实有效，则结果可能依赖于浏览器。如果您需要Javascript可用的身份验证令牌，请关闭cookie上的HTTP Only标志或使用其他方法标识符-并承担后果。