当我在网址栏中输入javascript:alert(document.cookie)时,我只会看到facebook为我的帐户设置的一些Cookie。
我认为这是因为其他cookie只是http。
第一个问题:这是真的吗?有些Facebook的cookie只是http,这就是为什么我无法通过javascript访问它们。当我查看cookie时,在Web Developer Firefox Add中,我可以看到更多的cookie。例如:通过javascript无法看到“xs”cookie,只能通过Web开发人员加入。
第二个问题:如何通过javascript访问所有cookie,如果Add-On可以访问(访问所有cookie),为什么javascript不能这样做?
第三,如果我无法使用javascript访问所有Cookie,我应该如何访问它们?
答案 0 :(得分:2)
不同的浏览器会在different ways中处理httponly标记。应该非常清楚,httponly标志不会阻止XSS攻击。使用javascript你仍然可以“骑”受害者的会话。 MySpace Sammy worm就是一个很好的例子。因此,即使您是攻击者,也不需要cookie值。
Firefox附加组件不受与从地址栏运行或在页面上加载的javascript相同的安全限制。例如,相同的原始政策并不真正适用,因为它没有原产地。它是有用且安全的,足以让附加组件绕过这些规则。