【问题标题】:Of HttpOnly and document.cookieHttpOnly 和 document.cookie 的
【发布时间】:2009-09-02 15:01:47
【问题描述】:

在启用 httpOnly 的情况下搜索获取 cookie 的可能方法,但我找不到任何方法。但话又说回来,Firebug、Add 'N Edit Cookie 等浏览器插件如何获取 cookie?攻击者不能这样做吗?

所以我的问题是,使用 javascript 获取启用 httpOnly 的请求的 cookie 真的真的不可能吗?

p/s:是的,我知道 httpOnly 不会阻止 XSS 攻击。我也知道它对嗅探器是徒劳的。让我们只关注 javascript,一种 alert(document.cookie) 类型/pre httpOnly 时代。

【问题讨论】:

    标签: cookies xss session-hijacking


    【解决方案1】:

    像 Firebug 这样的浏览器插件如何, 添加'N Edit Cookie等即可获取 饼干?

    它们是浏览器扩展,浏览器可以访问cookies;扩展拥有比你的 JS 代码更高级别的权限。

    真的,真的不可能得到 httpOnly 启用请求的 cookie, 使用javascript?

    如果您使用的浏览器(即最近的浏览器) 支持 httpOnly 并且没有关于它的安全漏洞,那么这应该是不可能的——这就是 httpOnly 的目标。

    引用wikipedia

    当浏览器收到这样的 cookie,它应该用作 通常在以下 HTTP 交换中, 但不要让它可见 客户端脚本。

    【讨论】:

      【解决方案2】:

      Firebug 和其他插件可以做到这一点,因为它们没有在对网页 JavaScript 施加的安全限制下运行。

      【讨论】:

        猜你喜欢
        • 2020-04-21
        • 2018-05-01
        • 2015-08-21
        • 2012-05-02
        • 2015-12-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多