javascript - 请教一个关于chrome cookie获取的问题?
本文介绍了javascript - 请教一个关于chrome cookie获取的问题?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
为了安全,服务器会把cookie的某些值设置为httpOnly,这样客户端就不能通过javascript的document.cookie拿到这些cookie值。
但是在chrome的devTools - Application - cookie 里,还是能看到这些设置为httpOnly的cookie值呀,这样攻击者是不是一样能把它拷出来,去登录伪造请求呢?
这样其实还是没限制我在客户端获取cookie值,httpOnly设置的意义何在呢?小白不懂,求指教。
解决方案
你只要写到浏览器,客户端就一定可以拿到的,如果是一些敏感信息就不要放到cookie里,要放到服务端。
还有httponly只是客户端脚本访问Cookie限制,并不能阻止客户伪造和获取,而且客户端可以获取cookie的方式有很多种,所以只要写到cookie里,用户就一定能拿到的。
这篇关于javascript - 请教一个关于chrome cookie获取的问题?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文