关于 cookie - httponly 的 懵逼

2021 年 10 月 12 日
 jiemou

已知:
httponly 设置为 true,无法使用 js 获取 cookie,防止 xss 攻击。

问题:
当我们打开 浏览器 - Application - Cookies ; 不是也能看见 httponly 设置为 true 的 cookie 吗?我为什么不能手动复制粘贴这个 cookie 拿出来进行使用?这样不很明显是不安全的吗?

2320 次点击
所在节点    前端开发
9 条回复
Trim21
2021 年 10 月 12 日
httponly 防的不是你这种情况…

如果你的网页引用了一个 js 文件(比如 jQuery ),这个 js 文件没法读取你的 cookies…
jiemou
2021 年 10 月 12 日
@Trim21 一般的安全检测会这样取 cookie 去模拟访问吗?
IvanLi127
2021 年 10 月 13 日
你这控制浏览器和 xss 没啥关系了。客户端不可信的话是用户问题,用户自己负责。安不安全与站点无关了
Justin13
2021 年 10 月 13 日
防的是恶意 js,不是用户
weyou
2021 年 10 月 13 日
都能直接操作浏览器了,就不能谈什么安全了。这也是很长时间 chrome 不把保存的网页登录密码加密的理由,因为攻击者能直接操作你电脑的话,可以无数种方式拿到他想要的东西
Telegram
2021 年 10 月 13 日
人家防的是恶意插入的 xss 代码获取到你的 cookie,不是防的你。你都能控制浏览器了,当然可以拿到 cookie 了。
Aphsss
2021 年 10 月 13 日
防风,但不防 XX 。
wdssmq
2021 年 10 月 13 日
很多人给建站程序报的“漏洞”都是先假定攻击者能登录后台 。。emmm,,
jiemou
2021 年 10 月 13 日
@Justin13 @Aphsss @IvanLi127 @Telegram @wdssmq @weyou 感谢回复 =.=

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://v2ex.xtra.eu.org/t/807429

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX