cookies - HttpOnly 和 document.cookie 的

标签 cookies xss session-hijacking

搜索启用 httpOnly 的可能方法来获取 cookie，我找不到任何方法。但话又说回来，Firebug、Add 'N Edit Cookie 等浏览器插件如何获取 cookie？攻击者不能这样做吗？

所以我的问题是，使用 javascript 获取启用 httpOnly 的请求的 cookie 真的真的不可能吗？

p/s:是的，我知道 httpOnly 不会阻止 XSS 攻击。我也知道它对嗅探器是徒劳的。让我们只关注 javascript，一种 alert(document.cookie) 类型/pre httpOnly 时代。

最佳答案

how do browser addons like Firebug, Add 'N Edit Cookie, etc. can get the cookies?

它们是浏览器扩展，浏览器可以访问cookies；扩展拥有比 JS 代码更高级别的权限。

is it really, really impossible to get cookie of httpOnly enabled requests, using javascript?

如果您使用的浏览器(即最近的浏览器) 支持 httpOnly 并且没有关于它的安全漏洞，那么这应该是不可能的——这就是 httpOnly 的目标。

引用 wikipedia :

When the browser receives such a cookie, it is supposed to use it as usual in the following HTTP exchanges, but not to make it visible to client-side scripts.

关于cookies - HttpOnly 和 document.cookie 的，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/1366182/

上一篇：jsf-2 - p :selectOneMenu not calling setter on form submit

下一篇：jsf - 在 ICEFaces 中通知一个 bean

相关文章：

Angular 2/4 在哪里存储 token

javascript - 托管第 3 方 Javascript 有哪些相关风险？

java - 只知道我当前 JSESSIONID 的人可以冒充/劫持我的 session (Tomcat 7/Glassfish 3.2))吗？

security - session 重放、 session 固定、 session 劫持

javascript - 如何在浏览器调试工具中捕获 cookie 更改/消失？

Tomcat 无法处理 cookie 中带有编码字符的请求

javascript - 从本地 JavaScript 代码到远程服务器的 AJAX 调用

php - 我不明白为什么 session_regenerate_id 在低连接情况下很危险？

firefox - Selenium IDE : How to detect secure cookies on page loaded with http://?

java - 是否有 API/LIB 可以删除 JavaBackend 中的 JavaScript？