搜索启用httpOnly获取cookie的可能方法,我找不到任何。但话又说回来,像Firebug,Add'N Edit Cookie等浏览器插件如何获取cookie?攻击者不能这样做吗?
所以我的问题是,使用javascript获取启用了httpOnly的请求的cookie是否真的非常不可能?
p / s:是的我知道httpOnly不会阻止XSS攻击。我也知道这对嗅探器来说是徒劳的。让我们只关注javascript,一种警告(document.cookie)类型/ pre httpOnly时代。
答案 0 :(得分:5)
像Firebug这样的浏览器插件如何 添加'N编辑Cookie等可以得到 饼干?
它们是浏览器扩展程序,浏览器可以访问Cookie;扩展具有比JS代码更高级别的权限。
真的,真的不可能得到 httpOnly启用请求的cookie, 使用javascript?
如果您使用支持httpOnly的浏览器(即最近的浏览器)并且没有安全漏洞,那么它应该是不可能的 - 这就是httpOnly的目标。
引用wikipedia:
当浏览器收到这样的 cookie,应该用它作为 通常在以下HTTP交换中, 但不要让它可见 客户端脚本。
答案 1 :(得分:2)
Firebug和其他插件可以做到这一点,因为它们不是在对网页的JavaScripts施加的安全限制下运行。