httpOnlyを有効にしてCookieを取得する方法を検索しても見つかりません。しかしもう一度、Firebug、Add 'N Edit Cookieなどのようなブラウザアドオンはどのようにクッキーを取得できますか?攻撃者は同じことをすることはできませんか?HttpOnlyとdocument.cookieのうち
私の質問は、実際には、本当に本当に、HTTPOnly有効になっているリクエストのクッキーを取得することは、javascriptを使用してですか?
p/s:はい私は、httpOnlyがXSS攻撃を停止しないことを認識しています。私はまた、それがスニファには役に立たないことも承知しています。 Let's just javascript、アラート(document.cookie)タイプ/ pre http Only時代に注目しましょう。
がどのようにFirebugのようなブラウザのアドオン、 クッキーを取得することができますなど「N編集クッキーを、追加しますか?
これらはブラウザの拡張機能であり、ブラウザはCookieにアクセスできます。拡張機能はJSコードよりも高いレベルの権限を持っています。
それは本当に、本当に不可能JavaScriptを使用してHTTPのみ有効リクエストの クッキー、 を取得するのですか? HttpOnlyのをサポートするブラウザ(すなわち、かなり最近のブラウザ)を使用して提供される
とそれについてのセキュリティバグを持っていない、それは不可能でなければなりません - それは、HTTPのみの目標です。
wikipediaを引用:
ブラウザは、このような クッキーを受信した場合、以下のHTTP交換で通常の 、 としてそれを使用することになっているが、 クライアント側のスクリプトにそれが見えるようにしません。
Firebugと他のアドオンは、WebページのJavaScriptに課せられたセキュリティ制限の下で動作していないため、これを実行できます。