通过 Javascript 将 cookie 设置为 HttpOnly

IT技术 javascript http cookies
2021-01-14 11:09:15

我有一个不是 cookieHttpOnly我可以HttpOnly通过 JavaScript设置这个 cookie吗?

1个回答

一个HttpOnlycookie的手段,它是提供给脚本语言如JavaScript。所以在 JavaScript 中,绝对没有 API 可用于获取/设置HttpOnlycookie属性,否则会破坏HttpOnly.

只需使用服务器端使用的任何服务器端语言在服务器端设置它。如果 JavaScript 是绝对必要的,你可以考虑让它发送一些(ajax)请求,例如一些特定的请求参数,触发服务器端语言创建一个 HttpOnly cookie。但是,这仍然会让黑客很容易HttpOnly通过 XSS来改变它,并且仍然可以通过 JS 访问 cookie,从而使HttpOnly你的 cookie 完全无用。

我想知道像“EditThisCookie”浏览器扩展这样的客户端应用程序如何将 HttpOnly 标志更改为 false。
2021-03-13 11:09:15
我真的不明白如何能够从 JS 设置 HttpOnly 会“破坏”的含义HttpOnly,只要 cookie 仍然无法从脚本中读取......
2021-03-14 11:09:15
@MIWright 它可能允许你写一个 httponly cookie,然后你就可以暴力破解会话 cookie 等,所以 XSS 攻击(尤其是 DoS)仍然是可能的。
2021-03-18 11:09:15
@BalusC 浏览器扩展是用 JS 编写的,并且已经有一段时间了developer.chrome.com/extensions “您使用 HTML、JavaScript 和 CSS 等网络技术编写它们。” developer.mozilla.org/en-US/Add-ons/WebExtensions/... “它们是使用标准的 Web 技术——JavaScript、HTML 和 CSS——以及一些专用的 JavaScript API 编写的。”以及 2013 年编写的开源示例github.com/Asana/Chrome-Extension-Example
2021-04-04 11:09:15
2021-04-08 11:09:15
其它你可能感兴趣的问题
上一篇什么 (function (x,y){...})(a,b); 在 JavaScript 中是什么意思? 下一篇如何使用 JavaScript 访问 CSS 生成的内容