用JavaScript覆盖HttpOnly cookie?
根据MDN document:
为防止跨站点脚本(XSS)攻击,JavaScript的Document.cookie API无法访问HttpOnly cookie;它们仅发送到服务器。
我找到了一种用JavaScript替换HttpOnly cookie的方案,这是ASP.NET中的PoC:
<%@Page Language="C#" %>
<script runat="server">
void Page_Load(object sender, EventArgs e)
{
if (Request["m"] == "check")
{
Response.Write("Cookie=" + Request.Cookies["C"].Value);
Response.End();
}
else
{
Response.AppendCookie(new HttpCookie("C")
{
Value = "ByServer",
HttpOnly = true
});
}
}
</script>
<html>
<body>
<div>
document.cookie -> <span id=t></span>
</div>
<script>
document.getElementById("t").innerHTML = document.cookie;
document.cookie="C=ByClient";
</script>
<a href="?m=check">Check Cookie</a>
</body>
</html>
在Chrome的测试中,读取document.cookie并不能证明HttpOnly cookie确实对JavaScript不可读。但是通过设置document.cookie =“ C = ByClient”,可以同时存在两个具有不同路径的cookie。
然后从服务器端检查cookie,Request.Cookies [“ C”]返回JavaScript给出的“ ByClient”,而不返回服务器分配的“ ByServer”。客户端仅覆盖HttpOnly cookie。
如果我们设置确切的HttpCookie.Path,结果将有所不同:
Response.AppendCookie(new HttpCookie("C")
{
Value = "ByServer",
HttpOnly = true,
Path = "/asp/httponlycookie"
});
现在document.cookie =“ ByClient”无法添加或更改cookie,HttpOnly cookie受保护。
我能否得出一个结论:HttpOnly属性仅保证cookie无法被JavaScript读取,因此HttpOnly cookie仍然可以被JavaScript替换或覆盖吗?
0 个答案:
没有答案
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?