2

浏览器如何区分 cookie 是客户端创建的 (JavaScript) 还是服务器端创建的 (ASP.NET)。是否可以在客户端删除从服务器端创建的 cookie,反之亦然,我正在努力删除使用 ASP.NET 代码隐藏中的 javascript 从客户端创建的 cookie。

4

2 回答 2

5

浏览器如何区分 cookie 是来自客户端(创建的 JavaScript)还是创建的服务器端(Asp.net)。

它没有。饼干就是饼干。

最接近的是HTTP Only标志,它允许对 JavaScript 隐藏 cookie。(这为 XSS cookie 盗窃提供了一点防御)。

可以在客户端删除从服务器端创建的 cookie,反之亦然

是的。饼干就是饼干。(同样,客户端代码不能触及仅 HTTP 的 cookie)

于 2012-04-11T19:32:58.280 回答
1

据我所知,如果没有属性HttpOnly owasp wikipedia是可能的。

在 chrome 中,对于 cookie,有一个字段 - Accessible by script,它指示是否设置了 HttpOnly。

于 2012-04-11T19:30:37.720 回答