为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。
但是在chrome的devTools - Application - cookie 里,还是能看到这些设置为httpOnly的cookie值呀,这样攻击者是不是一样能把它拷出来,去登录伪造请求呢?
这样其实还是没限制我在客户端获取cookie值,httpOnly设置的意义何在呢?小白不懂,求指教。
天蓬老师2017-04-11 12:41:38
你只要写到浏览器,客户端就一定可以拿到的,如果是一些敏感信息就不要放到cookie里,要放到服务端。
还有httponly只是客户端脚本访问Cookie限制,并不能阻止客户伪造和获取,而且客户端可以获取cookie的方式有很多种,所以只要写到cookie里,用户就一定能拿到的。