通过 Javascript 将 cookie 设置为 HttpOnly

【问题标题】:Set a cookie to HttpOnly via Javascript通过 Javascript 将 cookie 设置为 HttpOnly
【发布时间】:2013-01-19 10:37:23
【问题描述】:

我有一个不是 HttpOnly 的 cookie 我可以通过 JavaScript 将此 cookie 设置为 HttpOnly 吗?

【问题讨论】:

  • 如何通过 JavaScript 设置一个 JavaScript 本身不应该能够操作的 cookie?只需在服务器端设置即可。
  • Cookie 不是 HttpOnly,我想通过 Javascript 将其设置为 HttpOnly。
  • 我认为你错过了 HttpOnly 的要点。
  • 好问题。就安全性而言,从客户端设置 HttpOnly cookie 确实没有任何缺点。所以你会认为这是被允许的。但当然不是。

标签: javascript http cookies


【解决方案1】:

HttpOnly cookie 表示它可用于 JavaScript 等脚本语言。所以在 JavaScript 中,绝对没有可用的 API 来获取/设置 cookie 的 HttpOnly 属性,否则会破坏 HttpOnly 的含义。

只需使用服务器端使用的任何服务器端语言在服务器端设置它。如果 JavaScript 是绝对必要的,你可以考虑让它发送一些(ajax)请求,例如一些特定的请求参数,它触发服务器端语言创建 HttpOnly cookie。但是,这仍然会让黑客很容易通过 XSS 更改 HttpOnly,并且仍然可以通过 JS 访问 cookie,从而使您的 cookie 上的 HttpOnly 完全无用。

【讨论】:

  • 我想知道像“EditThisCookie”浏览器扩展这样的客户端应用程序如何将 HttpOnly 标志更改为 false。
  • @BalusC 浏览器扩展是用 JS 编写的,并且已经有一段时间了 developer.chrome.com/extensions “你使用 HTML、JavaScript 和 CSS 等 Web 技术编写它们。” developer.mozilla.org/en-US/Add-ons/WebExtensions/…“它们是使用标准 Web 技术——JavaScript、HTML 和 CSS——以及一些专用的 JavaScript API 编写的。”以及 2013 年编写的开源示例github.com/Asana/Chrome-Extension-Example
  • 我真的不明白如何能够从 JS 设置 HttpOnly 将“击败 HttpOnly 的含义”,只要脚本仍然无法读取 cookie...
  • MDN 说这是被禁止的。 developer.mozilla.org/en-US/docs/Web/HTTP/…
  • @MIWright 它可能允许您覆盖 httponly cookie,然后允许您暴力破解会话 cookie 等,因此 XSS 攻击(尤其是 DoS)仍然可能。
猜你喜欢
  • 2017-02-04
  • 2013-12-04
  • 2012-07-21
  • 1970-01-01
  • 2016-06-04
  • 2017-01-30
  • 2021-10-15
  • 2020-01-06
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode