4

我已经为 jquery 安装了 cookie 扩展,并且正在尝试访问会话 id cookie。

我目前有两个 cookie 用于我的会话 - 请参见下面的屏幕截图:

饼干屏幕截图

但是, $.cookie() 只列出了一个:

> $.cookie()
Object {csrftoken: "fFrlipYaeUmWkkzLrQLwepyACzTfDXHE"}
> $.cookie('sessionid')
undefined

我可以/如何从 javascript 访问 sessionid cookie?

4

1 回答 1

10

会话 id cookie 应标记为仅 HTTP,以防止从 javascript 访问。这是一个安全问题,通过 xss 漏洞防止会话劫持。

您可以在屏幕截图中看到该 cookie 确实被标记为 HTTP。

如果您想了解有关标志的更多信息,请参见此处。最初由 IE 实现,现在大多数浏览器都支持该标志,并且未标记为 http-only 的会话 cookie 被认为是一个安全漏洞。也见这里

于 2013-10-01T20:45:58.110 回答