HttpOnly и document.cookie

В поисках возможных способов получить cookie с включенным httpOnly я не могу найти ни одного. Но опять же, как расширения браузера, такие как Firebug, Add 'N Edit Cookie и т. д., могут получить файлы cookie? Разве злоумышленник не может сделать то же самое?

Итак, мой вопрос: действительно ли невозможно получить cookie запросов с поддержкой httpOnly, используя javascript?

p/s: Да, я знаю, что httpOnly не останавливает XSS-атаки. Я также знаю, что это бесполезно против снифферов. Давайте просто сосредоточимся на javascript, своего рода тип предупреждения (document.cookie) / до эпохи httpOnly.


cookies xss session-hijacking
person syaz    schedule 02.09.2009    source источник

Ответы (2)


arrow_upward
6
arrow_downward

как расширения браузера, такие как Firebug, Add 'N Edit Cookie и т. д., могут получить файлы cookie?

Это расширения браузера, и браузер имеет доступ к файлам cookie; расширения имеют более высокий уровень привилегий, чем ваш код JS.

действительно ли невозможно получить cookie запросов с поддержкой httpOnly, используя javascript?

При условии, что вы используете браузер (т. е. совсем новый браузер), поддерживающий httpOnly и не содержащий ошибок безопасности, это должно быть невозможно — это цель httpOnly.

Цитирование википедии :

Когда браузер получает такой файл cookie, он должен использовать его, как обычно, в следующих обменах HTTP, но не делать его видимым для сценариев на стороне клиента.

person Pascal MARTIN    schedule 02.09.2009

arrow_upward
2
arrow_downward

Firebug и другие дополнения могут это делать, потому что они не работают под ограничениями безопасности, налагаемыми на JavaScripts веб-страниц.

person Havenard    schedule 02.09.2009