【发布时间】:2012-07-01 16:25:41
【问题描述】:
最近我注意到可以通过 Firebug 更改设置为 httponly 的 cookie 的值。从我读到的 httponly 标志应该阻止任何类型的客户端脚本访问或更改此类 cookie 的值,在supporting browsers。但是,如果您将 cookie 创建为 httponly,然后使用带有新 Cookie 面板的 Firebug 1.10 Beta,您实际上可以更改此 cookie 的值。这意味着任何拦截请求或设法将间谍软件安装到反馈 cookie / 网站信息的用户计算机上的任何人都可以通过更改任何与会话相关的 cookie 以匹配原始用户的 cookie 来访问以用户身份登录的站点。
几个小时前我试图在Firebug Google group 上提出这个问题,但还没有被允许。有没有其他人认为这是 Firebug 的主要安全漏洞?它也可能存在于 Chrome 或 IE 开发工具中,但我没有检查过。
【问题讨论】: