Mark24
记录灵感、技术、思考
Cookie相关
安全标记
JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 cookie;此类 Cookie 仅作用于服务器。例如,持久化服务器端会话的 Cookie 不需要对 JavaScript 可用,而应具有 HttpOnly 属性。此预防措施有助于缓解跨站点脚本(XSS) (en-US)攻击。
如果设置了HttpOnly,那么客户端中的JavaScript无法修改Cookie,无论是新增还是修改。HttpOnly选项是一种安全措施,可以防止跨站点脚本攻击(XSS攻击)。通过阻止JavaScript访问敏感Cookie,HttpOnly可以防止攻击者获取访问受害者账户的权限。JavaScript代码只有通过发送HTTP请求到Web服务器,然后在服务器端设置Cookie才能设置Cookie,而不能通过JavaScript直接访问Cookie。因此,如果你在后端设置了HttpOnly,客户端中的JavaScript不能新增或修改Cookie,只能在Web服务器上通过HTTP响应向客户端发送新的Cookie。
— FROM chatGPT
补充说明
如果用 Chrome 打开具有登录属性的网站,可以看到 Cookie 是有 HttpOnly 属性打钩的。
被设置的具体字段,无法读取,但是没有被设置的字段依然可以读取、修改,并且会携带上传。