httpOnlyを有効にしてCookieを取得するための可能な方法を探していますが、見つかりません。しかし、繰り返しになりますが、Firebug、Add'N Edit CookieなどのブラウザアドオンはどのようにしてCookieを取得できますか?攻撃者は同じことをすることはできませんか?
だから私の質問は、javascriptを使用してhttpOnly対応のリクエストのCookieを取得することは本当に本当に不可能ですか?
p / s:はい、httpOnlyがXSS攻撃を阻止しないことは承知しています。私はそれがスニファーに対して無駄であることも知っています。javascript、一種のalert(document.cookie)タイプ/httpOnly以前の時代に焦点を当てましょう。
Firebug、Add'N Edit CookieなどのブラウザアドオンはどのようにしてCookieを取得できますか?
これらはブラウザ拡張機能であり、ブラウザはCookieにアクセスできます。拡張機能には、JSコードよりも高いレベルの特権があります。
javascriptを使用してhttpOnly対応のリクエストのCookieを取得することは本当に本当に不可能ですか?
httpOnlyをサポートし、セキュリティバグがないブラウザ(つまり、ごく最近のブラウザ)を使用している場合、それは不可能です。これがhttpOnlyの目標です。
ウィキペディアの引用:
ブラウザがそのようなCookieを受信すると、次のHTTP交換では通常どおりに使用することになっていますが、クライアント側のスクリプトには表示されません。
Firebug やその他のアドオンは、Web ページの JavaScript に課せられたセキュリティ制限の下で実行されていないため、これを行うことができます。