首頁  >  問答  >  主體

javascript - 请教一个关于chrome cookie获取的问题?

为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。

但是在chrome的devTools - Application - cookie 里,还是能看到这些设置为httpOnly的cookie值呀,这样攻击者是不是一样能把它拷出来,去登录伪造请求呢?

这样其实还是没限制我在客户端获取cookie值,httpOnly设置的意义何在呢?小白不懂,求指教。

大家讲道理大家讲道理2771 天前479

全部回覆(1)我來回復

  • 天蓬老师

    天蓬老师2017-04-11 12:41:38

    你只要写到浏览器,客户端就一定可以拿到的,如果是一些敏感信息就不要放到cookie里,要放到服务端。
    还有httponly只是客户端脚本访问Cookie限制,并不能阻止客户伪造和获取,而且客户端可以获取cookie的方式有很多种,所以只要写到cookie里,用户就一定能拿到的。

    回覆
    0
  • 取消回覆