V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 1659 days ago, the information mentioned may be changed or developed.
已知:
httponly 设置为 true,无法使用 js 获取 cookie,防止 xss 攻击。
问题:
当我们打开 浏览器 - Application - Cookies ; 不是也能看见 httponly 设置为 true 的 cookie 吗?我为什么不能手动复制粘贴这个 cookie 拿出来进行使用?这样不很明显是不安全的吗?
 |
1
Trim21 Oct 12, 2021 via Android
httponly 防的不是你这种情况…
如果你的网页引用了一个 js 文件(比如 jQuery ),这个 js 文件没法读取你的 cookies… |
 |
3
IvanLi127 Oct 13, 2021 via Android
你这控制浏览器和 xss 没啥关系了。客户端不可信的话是用户问题,用户自己负责。安不安全与站点无关了
|
 |
4
Justin13 Oct 13, 2021 via Android
防的是恶意 js,不是用户
|
 |
5
weyou Oct 13, 2021 via Android
都能直接操作浏览器了,就不能谈什么安全了。这也是很长时间 chrome 不把保存的网页登录密码加密的理由,因为攻击者能直接操作你电脑的话,可以无数种方式拿到他想要的东西
|
 |
6
Telegram Oct 13, 2021
人家防的是恶意插入的 xss 代码获取到你的 cookie,不是防的你。你都能控制浏览器了,当然可以拿到 cookie 了。
|
 |
7
Aphsss Oct 13, 2021
防风,但不防 XX 。
|
 |
8
wdssmq Oct 13, 2021
很多人给建站程序报的“漏洞”都是先假定攻击者能登录后台 。。emmm,,
|
Select Language