V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jiemou
V2EX  ›  前端开发

关于 cookie - httponly 的 懵逼

  •  
  •   jiemou · 2021-10-12 23:40:26 +08:00 · 1464 次点击
    这是一个创建于 1139 天前的主题,其中的信息可能已经有所发展或是发生改变。

    已知:
    httponly 设置为 true,无法使用 js 获取 cookie,防止 xss 攻击。

    问题:
    当我们打开 浏览器 - Application - Cookies ; 不是也能看见 httponly 设置为 true 的 cookie 吗?我为什么不能手动复制粘贴这个 cookie 拿出来进行使用?这样不很明显是不安全的吗?

    9 条回复    2021-10-13 12:15:46 +08:00
    Trim21
        1
    Trim21  
       2021-10-12 23:43:22 +08:00 via Android
    httponly 防的不是你这种情况…

    如果你的网页引用了一个 js 文件(比如 jQuery ),这个 js 文件没法读取你的 cookies…
    jiemou
        2
    jiemou  
    OP
       2021-10-12 23:47:21 +08:00
    @Trim21 一般的安全检测会这样取 cookie 去模拟访问吗?
    IvanLi127
        3
    IvanLi127  
       2021-10-13 08:10:12 +08:00 via Android
    你这控制浏览器和 xss 没啥关系了。客户端不可信的话是用户问题,用户自己负责。安不安全与站点无关了
    Justin13
        4
    Justin13  
       2021-10-13 08:15:22 +08:00 via Android
    防的是恶意 js,不是用户
    weyou
        5
    weyou  
       2021-10-13 08:42:11 +08:00 via Android
    都能直接操作浏览器了,就不能谈什么安全了。这也是很长时间 chrome 不把保存的网页登录密码加密的理由,因为攻击者能直接操作你电脑的话,可以无数种方式拿到他想要的东西
    Telegram
        6
    Telegram  
       2021-10-13 09:26:20 +08:00
    人家防的是恶意插入的 xss 代码获取到你的 cookie,不是防的你。你都能控制浏览器了,当然可以拿到 cookie 了。
    Aphsss
        7
    Aphsss  
       2021-10-13 10:09:37 +08:00
    防风,但不防 XX 。
    wdssmq
        8
    wdssmq  
       2021-10-13 11:51:29 +08:00
    很多人给建站程序报的“漏洞”都是先假定攻击者能登录后台 。。emmm,,
    jiemou
        9
    jiemou  
    OP
       2021-10-13 12:15:46 +08:00
    @Justin13 @Aphsss @IvanLi127 @Telegram @wdssmq @weyou 感谢回复 =.=
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   930 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 18ms · UTC 21:16 · PVG 05:16 · LAX 13:16 · JFK 16:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.