如何使用 JavaScript 读取 HttpOnly cookie
编辑
“安全cookie”的含义是模棱两可的。澄清:
安全如通过 https:// 协议发送 - 即。 cookie 不是以明文形式发送的。被称为“安全标志” cookie 中的安全不能被浏览器中运行的 Javascript 读取 - 即。 document.cookie 将不起作用。称为“HttpOnly”标志。
此编辑是为了澄清原始问题是在询问第二种情况。
原始问题
有什么方法可以使用 JavaScript 读取安全 cookie?
我尝试使用 document.cookie 来完成,据我在 this article about secure cookies and HttpOnly flag 上看到的,我无法通过这种方式访问安全 cookie。
任何人都可以提出解决方法吗?
设置了不同的浏览器 enable different security measures when the HTTPOnly 标志。例如 Opera 和 Safari 不会阻止 javascript 写入 cookie。但是,在所有主要浏览器的最新版本上始终禁止阅读。
但更重要的是为什么要读取 HTTPOnly cookie?如果您是开发人员,只需禁用该标志并确保您针对 xss 测试您的代码。我建议您尽可能避免禁用此标志。应始终设置 HTTPOnly 标志和“安全标志”(强制通过 https 发送 cookie)。
如果您是攻击者,那么您想劫持会话。但是,尽管有 HTTPOnly 标志,但仍有一种简单的方法可以劫持会话。您仍然可以在不知道会话 ID 的情况下乘坐会话。 MySpace Samy worm 就是这样做的。它使用 XHR 读取 CSRF 令牌,然后执行授权任务。因此,攻击者几乎可以做任何登录用户可以做的事情。
人们对 HTTPOnly 标志过于信任,XSS 仍然可以被利用。您应该围绕敏感功能设置障碍。如更改密码字段应要求当前密码。管理员创建新帐户的能力应该需要验证码,这是一个 CSRF prevention technique,XHR 不能轻易绕过。
HttpOnly cookie 的全部意义在于 JavaScript 无法访问它们。
让您的脚本读取它们的唯一方法(利用浏览器错误除外)是在服务器上有一个协作脚本,该脚本将读取 cookie 值并将其作为响应内容的一部分回显。但是,如果您可以并且愿意这样做,为什么首先要使用 HttpOnly cookie?
你不能。脚本无法访问 Httponly cookie 的目的。
The whole point of HttpOnly cookies is that they can't be accessed by JavaScript.
