简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Home
Article
Q&A
Course
Topic
Download
Game
Dictionary
Recent Updates

Home  >  Q&A  >  body text

javascript - 请教一个关于chrome cookie获取的问题?

为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。

但是在chrome的devTools - Application - cookie 里,还是能看到这些设置为httpOnly的cookie值呀,这样攻击者是不是一样能把它拷出来,去登录伪造请求呢?

这样其实还是没限制我在客户端获取cookie值,httpOnly设置的意义何在呢?小白不懂,求指教。

大家讲道理大家讲道理2721 days ago461

reply all(1)I'll reply

  • 天蓬老师

    天蓬老师2017-04-11 12:41:38

    你只要写到浏览器,客户端就一定可以拿到的,如果是一些敏感信息就不要放到cookie里,要放到服务端。
    还有httponly只是客户端脚本访问Cookie限制,并不能阻止客户伪造和获取,而且客户端可以获取cookie的方式有很多种,所以只要写到cookie里,用户就一定能拿到的。

    reply
    0
  • Cancelreply