4

当我在javascript:alert(document.cookie)URL 栏中输入时,我只能看到一些 facebook 为我的帐户设置的 cookie。

我认为这是因为其他 cookie 只是 http。

  • 第一个问题:这是真的吗?一些 Facebook cookie 只有 http,这就是我无法通过 javascript 访问它们的原因。当我查看 cookie 时,在 Web Developer Firefox Add on 中,我可以看到更多的 cookie。例如:“xs”cookie 通过 javascript 是不可见的,只能通过 Web 开发人员插件查看。

  • 第二个问题:我如何通过javascript访问所有cookie,如果插件可以做到(访问所有cookie),为什么javascript不能做到?

  • 第三,如果我不能使用 javascript 访问所有 cookie,我应该如何访问它们?

4

1 回答 1

3

不同的浏览器会以不同的方式处理 httponly 标志。应该很清楚,httponly 标志并不能防止 XSS 攻击。使用 javascript,您仍然可以“骑”在受害者的会话上。MySpace Sammy 蠕虫就是一个很好的例子。因此,即使您是攻击者,也不应该需要 cookie 值。

Firefox 附加组件不受与从地址栏运行或加载到页面上的 javascript 相同的安全限制。例如,相同的来源策略实际上并不适用,因为它没有来源。附加组件绕过这些规则非常有用且足够安全。

于 2011-11-19T18:01:06.333 回答