搜索启用 httpOnly 获取 cookie 的可能方法,我找不到任何方法。但话又说回来,Firebug、Add 'N Edit Cookie 等浏览器插件如何获取 cookie?攻击者不能做同样的事情吗?
所以我的问题是,使用javascript获取启用httpOnly请求的cookie真的是不可能的吗?
p/s:是的,我知道 httpOnly 不会阻止 XSS 攻击。我也知道它对嗅探器是徒劳的。让我们只关注javascript,一种警报(document.cookie)类型/pre httpOnly 时代。
Firebug、Add 'N Edit Cookie 等浏览器插件如何获取 cookie?
它们是浏览器扩展,浏览器可以访问 cookie;扩展具有比您的 JS 代码更高级别的权限。
使用javascript获取启用httpOnly请求的cookie真的非常不可能吗?
如果您使用的是支持 httpOnly 并且没有安全漏洞的浏览器(即,最近的浏览器) ,那么这应该是不可能的——这就是 httpOnly 的目标。
引用维基百科:
当浏览器接收到这样的 cookie 时,它应该像往常一样在以下 HTTP 交换中使用它,但不让它对客户端脚本可见。
Firebug 和其他插件可以做到这一点,因为它们没有在对网页 JavaScript 施加的安全限制下运行。