我敢肯定还有很多网站出于某些无法解释的原因使用 Javascript 来操作 cookie,但鉴于可能发生的所有 XSS,确实没有充分的理由允许这样做。为什么浏览器仍然允许这样做?为什么不简单地阻止 JS 看到 cookie?
最佳答案
让我们说清楚; JavaScript 操作 cookies 是完全合理和可以接受的。它本身不会产生 XSS 问题。一个写得不好的网站确实如此。
关于javascript - 为什么浏览器仍然允许 Javascript 查看 cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1297025/