如何获取当前会话的JSESSIONID

时间:2019-06-11 17:06:17

标签: javascript jsessionid

我在父网页上有一个小工具。我想获取JSESSION ID,以便通过javascript通过当前会话的身份验证(我不想打开新会话)。 document.cookies包含一个空字符串。另一方面,查看浏览器的cookie存储时,我可以找到JSESSION ID作为HttpOnly。是否有可能以某种方式在javascript中获得此信息?如果没有,请您解释一下原因?我在某处读到jsession是服务器端的东西,浏览器怎么可能看到它?

1 个答案:

答案 0 :(得分:1)

不,您无法获得它,这就是HttpOnly的重点。它告诉浏览器cookie不应与脚本共享。

This is a security feature to help keep sensitive cookies from being stolen by malicious scripts in Cross-Site Scripting attacks

如果您的小部件脚本与网站位于同一域中,则在发出请求时它将使用cookie。