HttpOnly Cookie に関するこのブログ投稿を読んで、私は考え始めました。HttpOnly Cookie を任意の形式の XSS で取得することは可能でしょうか? Jeff は、「基準を大幅に引き上げる」と述べていますが、XSS から完全に保護するわけではないように聞こえます。
すべてのブラウザーがこの機能を適切にサポートしているわけではないという事実は別として、ユーザーの Cookie が HttpOnly である場合、ハッカーはどのようにしてユーザーの Cookie を取得できるのでしょうか?
HttpOnly Cookie を別のサイトに送信したり、スクリプトで読み取ったりする方法が思いつかないので、これは安全なセキュリティ機能のように思えますが、一部の人々が多くの Cookie を簡単に回避できることにいつも驚かされます。セキュリティ層。
私が働いている環境では、IE のみを使用しているため、他のブラウザーは問題になりません。これがブラウザ固有の欠陥に依存しない問題になる可能性がある他の方法を特に探しています。