阅读这篇关于 HttpOnly cookie 的博文让我开始思考,是否有可能通过任何形式的 XSS 获得 HttpOnly cookie?Jeff 提到它“大大提高了标准”,但听起来好像它并不能完全防止 XSS。
除了并非所有浏览器都正确支持此功能这一事实之外,如果它们是 HttpOnly,黑客如何获取用户的 cookie?
我想不出任何办法让 HttpOnly cookie 将自己发送到另一个站点或被脚本读取,所以这似乎是一个安全的安全功能,但我总是惊讶于有些人可以轻松地解决许多问题安全层。
在我工作的环境中,我们只使用 IE,所以其他浏览器不是问题。我正在专门寻找其他可能成为不依赖于浏览器特定缺陷的问题的方法。