security - document.cookie 无法读取 HttpOnly的cookie
发布时间: 2021-11-28 06:53:00
如题.
所以, session id 一般都用 HttpOnly cookie 保存.
另外,可以通过Xhr + CSRF的方式来获得 cookie.
参考: https://stackoverflow.com/questions/8064318/how-to-read-a-httponly-cookie-using-javascript
下面的cookie是 HttpOnly = false的,所以可以通过 document.cookie 来读取
设置cookie: document.cookie='my_key=my_value'
一次只能设置一个key. 不能设置多个key .
对于HttpOnly的cookie, 就算执行了document.cookie='... ' 不报错,但是也不生效.
Back